Comment configurer correctement IPv6 avec OpenVPN?

En essayant de find la configuration OpenVPN qui correspond à mes besoins, j'ai fait ce script pour m'aider pendant l'installation sur un système CentOS. Le file de configuration de mon server ressemble à ceci:

port 1194 proto udp dev tun user nobody group nobody persist-key persist-tun keepalive 10 120 topology subnet server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "dhcp-option DNS 10.8.0.1" push "dhcp-options DNS 2a04:52c0:101:xxx::1" push "redirect-gateway def1 bypass-dhcp" crl-verify crl.pem ca ca.crt cert server.crt key server.key tls-auth tls-auth.key 0 dh dh4096.pem auth SHA256 cipher AES-256-CBC tls-server tls-version-min 1.2 tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 status openvpn.log verb 4 

Il fonctionne réellement, mais comme j'ai loué un server @ liteserver.nl et ils m'ont donné un sous-réseau / 64, j'essayais de configurer le server OpenVPN pour donner une adresse IPv6 à chaque client pour accéder à Internet avec une adresse IP dédiée. J'ai donc suivi les instructions sur cette page pour configurer IPv6 pour une utilisation interne. Et cette page contient des instructions pour un server avec un IPv6 public qui est 2001: db8: 0: abc :: 100/64 et un sous-réseau IPv6 routé (ce qui est probablement ce que liteserver.nl m'a donné) qui est 2001: db8: 0: 123 :: / 64. Sans tenir count de la différence d'adresses d'échantillons, j'ai configuré mon server avec un IPv6 public (2a04: 52c0: 101: xxx :: 100/64) et j'ai donné aux clients OpenVPN le sous-réseau entier qu'ils m'ont donné (2a04: 52c0: 101: xxx :: / 64), voici comment fonctionne mon server.conf:

 port 1194 proto udp dev tun user nobody group nobody persist-key persist-tun keepalive 10 120 topology subnet server 10.8.0.0 255.255.255.0 ifconfig-pool-persist ipp.txt push "dhcp-option DNS 10.8.0.1" push "dhcp-options DNS 2a04:52c0:101:xxx::1" push "redirect-gateway def1 bypass-dhcp" crl-verify crl.pem ca ca.crt cert server.crt key server.key tls-auth tls-auth.key 0 dh dh4096.pem auth SHA256 cipher AES-256-CBC tls-server tls-version-min 1.2 tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384 status openvpn.log verb 4 server-ipv6 2a04:52c0:101:xxx::/64 tun-ipv6 push tun-ipv6 ifconfig-ipv6 2a04:52c0:101:xxx::1 2a04:52c0:101:xxx::2 push "route-ipv6 2a04:52c0:101:xxx::/64" push "route-ipv6 2000::/3" 

Ainsi, comme la connectivité IPv4 fonctionne, IPv6 est correctement atsortingbué, mais je ne peux pas accéder à Internet en utilisant IPv6 (selon test-ipv6.com). Je me request si j'ai besoin de deux sous-réseaux (64 pour le réseau privé OpenVPN et un pour le server VPN lui-même, donc pour les connections sortantes) pour configurer correctement cela ou si j'ai raté quelque chose … de toute façon, ce que j'aimerais get, c'est un server VPN avec une connection privée IPv4 et IPv6 et avec un IPv4 public et un ou plusieurs IPv6 adresse (s). Veuillez me dire si c'est possible et comment faire cela. J'espère vraiment que quelqu'un pourrait m'aider.

Merci d'avance.

Je pense que vous devez requestr des requests NDP à vos adresses publiques IPv6. Je n'ai pas testé cela personnellement, mais c'est la théorie:

Votre FAI enverra le trafic pour votre réseau IPv6 (2a04: 52c0: 101: xxx :: / 64) sur votre server. Cela signifie que, lorsque quelqu'un sur Internet tente de se connecter à une adresse IP à l'intérieur de ce réseau, le trafic sera envoyé à votre server, en attendant qu'il sache comment le gérer.

Votre server a une adresse dans ce réseau (2a04: 52c0: 101: xxx :: 100). Lorsqu'il reçoit du trafic vers une autre adresse, il l'ignore, car ce n'est pas une adresse avec laquelle il peut s'identifier. Ainsi, le trafic qui se déplace vers les périphériques qui obtiennent une adresse IP à partir de ce réseau assigné par OpenVPN arrête le décès sur votre server.

Pour que votre server se rend count qu'il doit get ce trafic et l'envoyer "vers le bas" via OpenVPN, vous avez deux options: utilisez un réseau IPv6 différent pour vos clients OpenVPN (si les travaux de routing traditionnels) ou proxy du trafic vers votre réseau actuel. La première est la meilleure option, mais votre FAI peut ne pas vous atsortingbuer plus d'un / 64; le NPD est proxying, semblable à proxying ARP dans IPv4.

En utilisant NDP proxying, votre server obtiendra le trafic pour les adresses qui ne sont pas propres et le renvoyer aux clients avec cette même adresse IP connectée via OpenVPN. Vous devrez le faire pour chaque adresse IP de votre réseau appartenant à un client OpenVPN.

Il existe d'autres réponses dans le réseau StackExchange qui couvre ceci en détail:

  • Problème de routing IPv6
  • Comment atsortingbuer un sous-réseau IPv6 complet au client OpenVPN

Veuillez vérifier ces réponses pour une explication plus approfondie.