OpenVPN tráfego de rotas IPv6 através do servidor

1

Estou tentando configurar um servidor OpenVPN para encapsular todo o meu tráfego (IPv4 e IPv6) por meio dele.

O servidor é Debian 8 e tem uma sub-rede IPv6 / 64 nativa: 2a00:xxxx:35:59::/64

Eu quero usar uma sub-rede / 112 para minha VPN: 2a00:xxxx:35:59::1:0/112

net.ipv6.conf.all.forwarding=1 está ativado.

Configuração do servidor:

port 1194
proto udp6
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh4096.pem
server 192.168.56.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"
duplicate-cn
keepalive 10 120
cipher AES-256-CBC
comp-lzo
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
auth SHA512
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384:TLS-DHE-RSA-WITH-AES-128-GCM-SHA256:TLS-DHE-RSA-WITH-AES-256-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-256-CBC-SHA:TLS-DHE-RSA-WITH-AES-128-CBC-SHA:TLS-DHE-RSA-WITH-CAMELLIA-128-CBC-SHA
client-cert-not-required
auth-user-pass-verify /etc/openvpn/user-auth.py via-env
script-security 3

server-ipv6 2a00:xxxx:0035:0059::1:0/112
ifconfig-ipv6 2a00:xxxx:0035:0059::1:1 2a00:xxxx:0035:0059::1:2
tun-ipv6
push "redirect-gateway def1 bypass-dhcp"
push "route-ipv6 2000::/3"

Sem push "route-ipv6 2000::/3" o tráfego IPv4 está sendo encapsulado e posso fazer ping / acessar o servidor via IPv4 / IPv6. Com esta opção, nada disso funciona.

Eu acho que este é um problema de roteamento, eu já tentei várias configurações do iptables ( link ) mas nenhuma delas funcionou ..

Infelizmente, não sei muito sobre o IPv6, já que é provavelmente um erro muito estúpido.

Agradecemos antecipadamente por sua ajuda!

    
por ovmcit5eoivc4 22.09.2016 / 21:10

1 resposta

0

Aparentemente, o cliente OpenVPN-2.3. * - tem um bug que o impede de usar novas rotas IPv6 padrão. Obrigado ao Gert que implementou isso e me disse isso na lista de discussão!

Para que meu IPv6 funcione para o tunelamento, tive que adicionar essas configurações do iptables:

ip6tables -I FORWARD -i tun0 -o eth0 -s 2a00:xxxx:35:59::1:0/112 -m conntrack --ctstate NEW -j ACCEPT
ip6tables -I FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT
ip6tables -t nat -I POSTROUTING -o eth0 -s 2a00:xxxx:35:59::1:0/112 -j MASQUERADE
    
por 24.09.2016 / 03:02