web-dev-qa-db-ja.com

OpenVPNでIPv6を正しく構成する方法は?

CentOSシステムへのインストール中に自分自身を助けるために、私が作成した this スクリプトを使用して、自分のニーズに合ったOpenVPN構成を見つけようとしています。私のサーバー構成ファイルは実際には次のようになります:

port 1194
proto udp
dev tun
user nobody
group nobody
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
Push "dhcp-option DNS 10.8.0.1"
Push "dhcp-options DNS 2a04:52c0:101:xxx::1"
Push "redirect-gateway def1 bypass-dhcp"
crl-verify crl.pem
ca ca.crt
cert server.crt
key server.key
tls-auth tls-auth.key 0
dh dh4096.pem
auth SHA256
cipher AES-256-CBC
tls-server
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
status openvpn.log
verb 4

それは実際には完全に機能しますが、私はサーバー@ liteserver.nlを借りて/ 64サブネットを提供したので、専用IPでインターネットにアクセスするために各クライアントに1つのIPv6アドレスを与えるようにOpenVPNサーバーを構成しようとしました。したがって、私は this ページの指示に従って、内部使用のためにIPv6をセットアップしました。そして、そのページには2001:db8:0:abc :: 100/64であるパブリックIPv6とルーティングされたIPv6サブネット(おそらくliteserver.nlが私に与えたものだと思う)が2001:db8であるサーバーの指示が含まれています。 0:123 ::/64。サンプルアドレスの違いに注意を払わずに、パブリックIPv6(2a04:52c0:101:xxx :: 100/64)を使用してサーバーを構成し、OpenVPNクライアントに、提供されたサブネット全体(2a04:52c0:101: xxx ::/64)、これが私のserver.confが実際にどのように見えるかです:

port 1194
proto udp
dev tun
user nobody
group nobody
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
Push "dhcp-option DNS 10.8.0.1"
Push "dhcp-options DNS 2a04:52c0:101:xxx::1"
Push "redirect-gateway def1 bypass-dhcp"
crl-verify crl.pem
ca ca.crt
cert server.crt
key server.key
tls-auth tls-auth.key 0
dh dh4096.pem
auth SHA256
cipher AES-256-CBC
tls-server
tls-version-min 1.2
tls-cipher TLS-DHE-RSA-WITH-AES-256-GCM-SHA384
status openvpn.log
verb 4
server-ipv6 2a04:52c0:101:xxx::/64
tun-ipv6
Push tun-ipv6
ifconfig-ipv6 2a04:52c0:101:xxx::1 2a04:52c0:101:xxx::2
Push "route-ipv6 2a04:52c0:101:xxx::/64"
Push "route-ipv6 2000::/3"

したがって、IPv4接続が機能するので、IPv6は正しく割り当てられますが、IPv6を使用してインターネットにアクセスできません(test-ipv6.comによると)2つの/ 64サブネット(1つはプライベートOpenVPNネットワーク用で、もう1つはこれを正しく構成するために、または何かを逃した場合は、VPNサーバー自体、つまり発信接続用)...とにかく取得したいのは、プライベートIPv4およびIPv6接続とパブリックIPv4および1つ以上のIPv6を備えたVPNサーバーですアドレス。それが可能かどうか、そしてその方法を教えてください。私は誰かが私を助けてくれることを本当に望んでいます。

前もって感謝します。

openvpnipv6
6
Phonic Mouse

NDP要求をパブリックIPv6アドレスにプロキシする必要があると思います。私はこれを個人的にテストしていませんが、これは理論です:

ISPは、IPv6ネットワーク全体(2a04:52c0:101:xxx ::/64)のトラフィックをサーバーに送信します。つまり、インターネット上の誰かがそのネットワーク内のIPアドレスに接続しようとすると、トラフィックはサーバーに送信され、その処理方法を知っていることが期待されます。

サーバーのネットワークにアドレスがあります(2a04:52c0:101:xxx :: 100)。別のアドレスへのトラフィックを受信すると、それはそれを識別できるアドレスではないため、それを無視します。そのため、OpenVPNによって割り当てられたネットワークからIPアドレスを取得するデバイスに向かうトラフィックは、サーバー上で停止します。

OpenVPNを介してトラフィックを取得し、「ダウン」して送信する必要があることをサーバーに認識させるには、2つのオプションがあります。OpenVPNクライアントに異なるIPv6ネットワークを使用する(従来のルーティングが機能する)か、現在のネットワークにトラフィックをプロキシします。最初のオプションが最良のオプションですが、ISPは複数の/ 64を割り当てない場合があります。後者はNDPプロキシであり、IPv4のARPプロキシに似ています。

NDPプロキシを使用して、サーバーは独自のアドレスのトラフィックを取得し、OpenVPNを介して接続された同じIPアドレスを持つクライアントに再送信します。 OpenVPNクライアントに属するネットワーク内のすべてのIPアドレスに対してこれを行う必要があります。

StackExchangeネットワークには、これについて詳しく説明する他の回答があります。

詳しい説明については、これらの回答を確認してください。

4
rsuarez