LINUX.ORG.RU
ФорумAdmin

OpenVPN реальный IPv6

 , openvp


0

3

Допустим есть хост, у которого есть несколько v6 адресов. Как обычно, выданных /64. У IPv6 нет NAT, так что надо использовать настоящие адреса, если мы хотим дать их клиентам.

Собственно, можно ли объяснить OpenVPN что он должен взять один из этих адресов, нарезать их на подсети поменьше и отдавать клиентам?

★★★★★
Disk read/write request avg waiting time (w_await)
Как обозначить локалхост?

А в чём собственно проблема?

topology subnet
server-ipv6 2a01:7e01:e002:8500::/64
push "redirect-gateway def1 ipv6"
push "dhcp-option DNS6 2001:4860:4860::8888"
push "dhcp-option DNS6 2001:4860:4860::8844"

Всё, end of story.

(У меня в распоряжении /56, а OpenVPN-у выдан целый /64, в твоём случае тут наверное будет чуть сложнее, но идея та же)

intelfx ★★★★★
()
Последнее исправление: intelfx (всего исправлений: 1)

Можно, я разбивал подсеть на более мелкие и выдавал их клиенту - всё работает

zgen ★★★★★
()
Ответ на: комментарий от Bers666

Если на адрес сервера смаршрутизирована /64 - просто отдавай клиентам более мелкие подсети.

Если /64 приходит «как есть» на внешний интерфейс сервера, тогда гугли в сторону sysctl proxy_ndp, никаких дополнительных демонов поднимать не нужно.

Pinkbyte ★★★★★
()
Ответ на: комментарий от Bers666

Но лучше вести себя так, как будто его нет.

intelfx ★★★★★
()
Ответ на: комментарий от Bers666

У ipv6 есть нат.

Да, вы правы. Ну, точнее я подразумевал, что нет NAT 6to6, но сейчас почитал и оказалось, что есть и он. То ли его сделали относительно недавно, то ли в статье что я читал когда-то была откровенная деза.

Но он вроде 1:1, не как snat в v4, позволяющий за одним адресом множество прятать.

atrus ★★★★★
() автор топика
Последнее исправление: atrus (всего исправлений: 1)
Ответ на: комментарий от intelfx

в твоём случае тут наверное будет чуть сложнее, но идея та же)

Может выгореть, официально OpenVPN сейчас поддерживает только /64 и /112, т.е. теоретически возможно.

atrus ★★★★★
() автор топика
Ответ на: комментарий от atrus

да обычный маскарадинг есть. Все по классике.

Bers666 ★★★★★
()
Ответ на: комментарий от intelfx

А где это написано?

Кажется я продолжаю неправильно читать. Не только /64 и /112, а от /64 до /112. «Permit pool size of /64.../112 for ifconfig-ipv6-pool»

https://github.com/OpenVPN/openvpn/blob/master/ChangeLog

Менее внятно здесь: https://community.openvpn.net/openvpn/wiki/IPv6

Плюс на Rocky сервер 2.4, там в man ещё есть строка «Due to implementation details, the pool size must be between /64 and /112.». В 2.5 её кажется нет, но и о расширении нет упоминаний.

atrus ★★★★★
() автор топика
Последнее исправление: atrus (всего исправлений: 1)

даже не обязательно адреса из подсети, можно просто локальные адреса использовать, «нат» автоматом будет, но так не правильно наверное.

naKovoNapalBaran
()
Последнее исправление: naKovoNapalBaran (всего исправлений: 1)

Если ты используешь VPS, очень часто они роутят не /64 а вообще чёрт знает как это делают. В общем и целом надёжный способ получить IPv6 это NAT. Без NAT - иногда надо поиграться со скриптами, делающими ip neigh add / del, а иногда вообще фиг пойми как делать.

А если у тебя прям /64 роутится, ну тогда круто и по идее всё будет работать без проблем.

Legioner ★★★★★
()
Ответ на: комментарий от Legioner

В общем и целом надёжный способ получить IPv6 это NAT

Опять вредные советы.

intelfx ★★★★★
()
Вы не можете добавлять комментарии в эту тему. Тема перемещена в архив.
Disk read/write request avg waiting time (w_await)
Admin
Как обозначить локалхост?