avn

Для статистики kn-1012 4.3a7

Попробуйте и узнаем. Для начала на сервере пропишите подсеть ipv6 и адрес ipv6 сервера. У каждого клиента пропишите ipv6 из этой подсети. Далее для сервера, каждый ip клиента добавьте в ndp proxy ip -6 neigh add proxy 2a00:5940:00:91 dev ens3 ip -6 neigh add proxy 2a00:5940:00:92 dev ens3 ip -6 neigh add proxy 2a00:5940:00:93 dev ens3

Я раздавал ipv6 клиентам Wireguard (пирам) путем прописывания ipv6 адреса у каждого клиента.

А в качестве сервера кто? Vds? Если vds то можно клиентам раздать ipv6 от vds. Я так делаю. Без nat.

Правильно так: Или так: https://bgp.he.net/AS35807#_prefixes https://bgp.he.net/AS35807#_prefixes6

Так и делаю. Но мне кажется это не правильно.

С этими правилами не работает tproxy, если используется порт 443. Стоит изменить порт, на отличный от 443 и все приходит в норму.

4.3a9 не исправлено

Для ipv6 нат не нужен. Для ленивых и тех, кто не осилил ipv6, нужен. Т.е нужно разделение на nat4 и nat6. Примеры: 1. У меня есть ipv6 (2000::/3) от провайдера, я могу раздать ipv6 адреса из своего диапазона своим клиентам. Nat6 не нужен. Но надо настроить neigh proxy (ndp). 2. У меня есть ipv6 (2000::/3) от провайдера, но я ленивый и раздал wg-клиентам локальные ip fс00::/7 Nat6 нужен. Я придерживаюсь мнения, что nat для v6 вообще не нужен. Тем кому нужен, пусть через entware включают. Поэтому под понятием NAT предлагаю понимать только NAT4.

У меня нету таких цепочек. 4.3.a7 $ iptables -nvL _NDM_DNS_FORWARD_BLOCK iptables: No chain/target/match by that name.

Разобрался. Не хватало модуля ip_set_*.ko

Добрый вечер! Не могу создать ipset hash:ip,port ~ # ipset create block hash:ip,port ipset v7.21: Kernel error received: set type not supported В чем кариес?

4.3.a7 Не исправлено.

chmod +x /opt/etc/init.d/S52ipset-dns

Когда это случится? С точки зрения пользователя это баг. С вашей - фича.

4.3.a5 Не исправлено.

А где можно посмотреть на реализацию этого резолва в коде? На github есть исходники?

Планируются изменения в ближайших версиях?

Стандартный клиент заработал с MASQUE. Ждем сторонних реализаций на go/c++ ...

Маршруты прилетели. Спасибо.

Работает отлично. Спасибо.

Спасибо. А флаг добавите? --no-dtls Since TCP over TCP is very suboptimal, OpenConnect tries to always use PPP-over-DTLS, and will only fall over to the PPP-over-TLS tunnel if that fails, or if disabled via the --no-dtls argument.

А чего его писать?. Берите любой dyndns сервис. Отправляйте туда любой ип. Профит. На стороне клиента - приписывайте адрес dydns.

У Вас серый, у провайдера белый. В интернете, только белые ип. В сети провайдера серые и белые. По другому никак.