avn

Приведите конфигурацию пиров и сервера для ipv4 и ipv6. Думаю у Вас в масках ошибка. C0 не входит в D0/60. Так же allow ips непонятны.

Если вы поставите adgh, то штатная маршрутизация будет работать ещё лучше. Поэтому-то уходит проблема одновременной отдачи ИП клиенту и добавления его в ipset. Но удобство заполнения списков уже не будет.

Верно. Тут две конфигурирующие системы конкурируют. Ndm при рестарте wg будет брать настройки из config файла роутера и писать их в ядро. Т.е. перетирать настройки, заданные через утилиту wg. На форуме были скрипты. Решение, конечно через Ж, но если очень хочется, то можно.

У вас диапазон /48. Выберите любую часть этой подсети для Wireguard-Клиентов. И раздавайте аналогично ipv4. Те. для ipv4/32 ipv6/128. Аналогично и для 2-го роутера, выбирайте другую подсеть из /48. Далее только разбираться с маршрутизацией. Все реально, надо только понять где не работает (firewall, ndp, route). Но самый простой способ, раздать WG клиентам по одному ipv6. В сети, где нет нативного ipv6 раздать ULA Prefix. И думаю все заработает без танцев с бубном. Но ipv6 будет работать через nat.

opkg install wireguard-tools. Не говорите ерундой. С ядром можно по разному работать.

Следим за руками

Entware.

Через wg setconf раньше можно было задать ipv6 endpoint. Ещё на версии 3.6. Сейчас, думаю тоже можно. Ключевые слова ipv6 wg setconf.

Открою секрет, старые записи на маршрутизацию никуда не исчезают, они хранятся в ipset.

Забудьте, 5мб в прошивку никто не потянет. Только хардкор, только с++

Конечно, там нужна настроенная инфраструктура ipv6.

Можно еще проверить вот что. Интерфейс главный, префикс раздали. Так же allow-ips 2000:: 3 На клиенте посмотреть ipv6 адрес. на VPS: ip -6 neigh add proxy <<ipv6 адрес клиента>> dev <<интерфейс wan ens3>>. Так же ip6tables -I FORWARD -i wg+ -j ACCEPT net.ipv6.conf.all.forwarding=1 net.ipv6.conf.all.proxy_ndp=1 Если проверить ключевые моменты, завести можно. Но штатно из коробки работать не будет. Тут еще проблема возможно в VPS будет (из-за ndp). В общем префикс лучше от провайдера получать.

Спасибо. Что и требовалось доказать. В текущей реализации работать не будет. А ipv6 с клиентов работает?

Так главным его сделали?

У нас пока задача попробовать префикс раздать. WG сделать основным подключением. Посмотреть, что есть префиксы. Переполучить ip на локальном пк.

Префикс на wg интерфейсе задайте руками. И интерфейс wg нужно сделать главным интерфейсом, выше интерфейса wan.

А почему у вас интерфейс 6in4? А не wg,?

На wg префикс есть? Если есть, получили ли клиенты ipv6 адрес?

Как временной решение используете стандартный чистый WG + nfqws2 (z2)

security-level какой на сервере и клиенте?

Прошивка теперь только дуал стек. Другого не дано. И это правильно, весь мир стремится к dual stack. То, что вы хотите - это прошлое. Те, кто хотел сидели с этой фичей ещё с прошивки 3.x. Так же и wg с ipv6 работал уже на версии 3.6, когда добавили ipv6 rule в ядро.

Зачем Вам подсеть из wg? Возьмите ipv6 у провайдера. На wg используйте свою произвольную, 2001:db8::/64. Делов-то. Вообще ни разу не видел реализации wg без поддержки ipv6. [Interface] Address = 172.16.254.90/28, 2001:db8:beaf:abc::90/64 ### Client 1 [Peer] AllowedIPs = 172.16.254.89/32, 2001:db8:beaf:abc::89/128 ### Client 2 [Peer] AllowedIPs = 172.16.254.91/32, 2001:db8:beaf:abc::91/128 ### Client 3 [Peer] AllowedIPs = 172.16.254.92/32, 2001:db8:beaf:abc::92/128 ### Client 4 [Peer] AllowedIPs = 172.16.254.93/32, 2001:db8:beaf:abc::93/128 ### Client 5 [Peer] AllowedIPs = 172.16.254.94/32, 2001:db8:beaf:abc::94/128 И на сервере nat включить для ipv6. -A POSTROUTING -o ens3 -j MASQUERADE Есть другие варианты без nat, но это явно не Ваш уровень.

Все правильно делает. Используете ipv6, настраивайте его и для туннеля.

Что за народ пошел, в трех строках разобраться не может SendWG.tar Ключевые моменты: - eth3 - интерфейс выхода в интернет для моего Wireguard2 - если используете route-id (client-id) - правила будут другие 0x01HEX(clientid) (например, 0x01abcdef) - возможно у вас другие порты $PORTS сервера WG - asc - должен быть выключен, можно и не выключать, но представляться протоколом нужно в первом пакете. Поэтому лучше выключить.

Отключить awg, использовать стандартный wg + nfqws2 Wg4all