История изменений
Исправление Pinkbyte, (текущая версия) :
а как лучше?
«лучше» понятия нет. Зависит от того как ты можешь.
Если можешь перейти на tap на ВСЕХ клиентах - тогда можешь просто добавить tap устройство в мост с тем устройством, где у тебя /64. Учти, что ты при этом не сможешь контролировать трафик между OpenVPN-клиентами(сможешь только или разрешить между всеми клиентами или запретить - опция client-to-client отвечает за это).
Если переход на tap-устройство нежелателен - тогда остаются только варианты route или proxy ndp. С вариантом route ты можешь выделить меньшую подсеть(например /96 или /112) для VPN-клиентов и отмаршрутизировать её туда - так как Linux позволяет назначать частично перекрывающиеся сети на разные интерфейсы - проблем с передачей unicast IP-пакетов не будет. При proxy ndp ты еще вдобавок обеспечишь как бы виртуальную L2-связность - будет вдобавок работать broadcast.
Вообще советую подтянуть теорию по IP-сетям - тут настолько общие вещи, что они не касаются непосредственно IPv6(за исключение proxy ndp - в IPv4 эта технология называется proxy arp, но суть её та же). Если у тебя будет понимает что такое широковещательный(broadcast) домен и маршрутизируемая подсеть - многие другие вопросы просто отпадут.
В очередной раз рекомендую цикл статей(с видео!) «Сети для самых маленьких». Части с 0 по 3 тебе в помощь, дальше контент строго для интересующихся админством, с 9 главы - строго для админов крупных предприятий и/или провайдеров(собственно примерно там цикл переименован в «Сети для самых матёрых»).
Исходная версия Pinkbyte, :
а как лучше?
«лучше» понятия нет. Зависит от того как ты можешь.
Если можешь перейти на tap на ВСЕХ клиентах - тогда можешь просто добавить tap устройство в мост с тем устройством, где у тебя /64. Учти, что ты при этом не сможешь контролировать трафик между OpenVPN-клиентами(сможешь только или разрешить между всеми клиентами или запретить - опция client-to-client отвечает за это).
Если переход на tap-устройство нежелателен - тогда остаются только варианты route или proxy ndp. С вариантом route ты можешь выделить меньшую подсеть(например /96 или /112) для VPN-клиентов и отмаршрутизировать её туда - так как Linux позволяет назначать частично перекрывающиеся сети на разные интерфейсы - проблем с передачей unicast IP-пакетов не будет. При proxy ndp ты еще вдобавок обеспечишь как бы виртуальную L2-связность - будет вдобавок работать broadcast.
Вообще советую подтянуть теорию по IP-сетям - тут настолько общие вещи, что они не касаются непосредственно IPv6(за исключение proxy ndp - в IPv4 эта технология называется proxy arp, но суть её та же). Если у тебя будет понимает что такое широковещательный(broadcast) домен и маршрутизируемая подсеть - многие другие вопросы просто отпадут.
В очередной раз рекомендую цикл статей(с видео!) «Сети для самых маленьких». Части с 0 по 3 тебе в помощь, дальше контент строго для интересующихся админством, с 9 главы - строго для админов крупных предприятий и/или провайдеров.