LINUX.ORG.RU
ФорумAdmin

OpenVPN и IPv6 не работают

 ,


1

1

Всем привет. Собственно сабж. Есть VPS с IPv6 - 2001:aaaa:bbbb:cccc::1/64 Поднимаю OpenVPN:

/etc/openvpn/variables 

# Tunnel subnet prefix
prefix=2001:aaaa:bbbb:cccc:80::
# netmask
prefixlen=112
cat /etc/openvpn/server.conf 
# Listen port
port 443
 
# Protocol
proto tcp-server
 
# IP tunnel
dev tun0
tun-ipv6
push tun-ipv6
 
# Master certificate
ca ca.crt
 
# Server certificate
cert debforvpn.crt
 
# Server private key
key debforvpn.key
 
# Diffie-Hellman parameters
dh debforvpn.pem
 
# Allow clients to communicate with each other
client-to-client
 
# Client config dir
client-config-dir /etc/openvpn/ccd
 
# Run client-specific script on connection and disconnection
script-security 2
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
client-disconnect "/usr/bin/sudo -u root /etc/openvpn/server-clientdisconnect.sh"
 
# Server mode and client subnets
server 10.8.0.0 255.255.255.0
server-ipv6 2001:aaaa:bbbb:cccc:80::/112
topology subnet
 
# IPv6 routes
push "route-ipv6 2001:aaaa:bbbb:cccc::/64"
push "route-ipv6 2000::/3"
 
# DNS (for Windows)
# These are OpenDNS
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
 
# Configure all clients to redirect their default network gateway through the VPN
push "redirect-gateway def1 bypass-dhcp"
push "redirect-gateway ipv6" #For iOS
 
# Don't need to re-read keys and re-create tun at restart
persist-key
persist-tun
 
# Ping every 10s. Timeout of 120s.
keepalive 10 120
 
# Enable compression
comp-lzo
 
# User and group
user vpn
group vpn
 
# Log a short status
status openvpn-status.log
 
# Logging verbosity
verb 4
/etc/openvpn/ccd/mikrotik 
ifconfig-push 10.8.0.101 255.255.255.0
ifconfig-ipv6-push 2001:aaaa:bbbb:cccc:80::1001/112 2001:aaaa:bbbb:cccc:80::1
iptables -L 
Chain INPUT (policy DROP)
target     prot opt source               destination         
ACCEPT     all  --  anywhere             anywhere            
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
ACCEPT     icmp --  <censored>           anywhere             icmp echo-request 
ACCEPT     icmp --  <censored>           anywhere             icmptype 6
ACCEPT     tcp  --  <censored>           anywhere             tcp dpt:22
ACCEPT     tcp  --  <censored>           anywhere             tcp dpt:https

Chain FORWARD (policy DROP)
target     prot opt source               destination         

Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination         

iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
/etc/sysctl.conf 
# IPv6 configuration
net.ipv6.conf.all.autoconf = 1
net.ipv6.conf.all.accept_ra = 0

# For OpenVPN
net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.proxy_ndp = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
И вот что получается: 
Mon Jan 29 19:05:36 2018 us=988898 mikrotik/xx.xxx.xxx.xxx:52839 MULTI: bad source address from client [fe80::xxxx:xxxx:xxxx:xxxx], packet dropped
Прошу помощи

Exim, reject.log.
Офисно-джентельмеский набор....

Не на всех vps можно поднять openvpn.

Deleted
()

Посмотри «ip -6 a» и «ip -6 r» после запуска opvn. Оно должно соответствовать тому, что написано в конфиге.

Попробуй подключиться сначала не с микротика, а из онтопика. Возможно в логах получишь более подробную детализацию ошибки.

В микротике заявлена проддержка ipv6 в openvpn в режиме клиента ?

vel ★★★★★
()
Ответ на: комментарий от vel

Что-то мне говорит, что IPv6 + VPN такое же чудо-юдо, как и IPv6 + Nat. С точки зрения IPv6 смысла в этом вообще нет, где все адресса  global-routable.

beastie ★★★★★
()
Ответ на: комментарий от beastie

Зато интересно, когда через openvpn(подключение к openvpn по ipv4) получаешь ipv6 адрес.

rumgot ★★★★★
()
Ответ на: комментарий от beastie

Это как раз самый нормальный вариант, если нужeн ipv6.

IMHO NAT ipv6 нужен в ipvs

vel ★★★★★
()
Ответ на: комментарий от vel

Не только микротик не может подключиться. В ifconfig нормально все

mfhunruh
() автор топика
Ответ на: комментарий от beastie

В IPv6 не все адреса глобально маршрутизмруемые, есть link-local, есть unique-local (RFC4193), которые не являются глобально маршрутизмруемыми и схожи по своему назначению с таковыми в IPv4 (RFC1918).

К тому же, Virtual Private Network, вовсе не обязана быть построена с использованием глобально не маршрутизмруемых адресов.

ZANSWER
()
Последнее исправление: ZANSWER (всего исправлений: 1)

Ну для начала openvpn на микротах никогда не работал нормально. Хотя последнее время может что изменилось. Посмотри почему он у тебя в openvpn тоннель начал слать траффик с link-local source адресом, а не нормальным.

Dark_SavanT ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Exim, reject.log.
Admin
Офисно-джентельмеский набор....