avn

@Le ecureuil Есть мысли, и еще маршрут не создается. Конфигурация была отослана скрытым сообщением выше. (config)> ipv6 route 2a12:0000:0000:9700::/56 Wireguard0 2a12:0000:0000:9700::91 auto reject Network::Ip6::RoutingTable error[4980739]: invalid route format.

Там же реальный префикс 2a12::/64

На 4.3a13 не работает (config)> ipv6 route 2a12:0000:0000:9700::/56 Wireguard0 2a12:0000:0000:9700::91 auto reject Network::Ip6::RoutingTable error[4980739]: invalid route format.

Проверил. 4.3.a13 префикс не раздается в сеть клиентам, nat не выключился.

Ната нету, если вы его на vps не настроили. На vps нужно настроить ndp proxy. P/S/ Посмотрел нынче на кинетик nat поднят. Раньше не было и пакеты вроде как ходили.

Попробуйте, и узнаем

Возможна. Настройка для интерфейса wg для ipv6 приведена постом выше как для сервера wg, так и для клиента wg.

Т.е. настройка примерно такая

У меня так работает на версии 4.3a7. Нативный ipv6 - 2a05::, WireGuard VPS - 2a09::. Ip (2a09::) прописан только на wg интерфейсе. У клиентов только нативные ип (2a05::). Трейс через провайдера Трейс еще через другой WG (wg2 ipv6 - 2a12::) ipconfig

А зачем это все, если есть нативный ipv6 от провайдера? Будет работать цепочка без проблем и ната (native ipv6-> wg ipv6(vps) -> ipv6 vps)

Для статистики kn-1012 4.3a7

Попробуйте и узнаем. Для начала на сервере пропишите подсеть ipv6 и адрес ipv6 сервера. У каждого клиента пропишите ipv6 из этой подсети. Далее для сервера, каждый ip клиента добавьте в ndp proxy ip -6 neigh add proxy 2a00:5940:00:91 dev ens3 ip -6 neigh add proxy 2a00:5940:00:92 dev ens3 ip -6 neigh add proxy 2a00:5940:00:93 dev ens3

Я раздавал ipv6 клиентам Wireguard (пирам) путем прописывания ipv6 адреса у каждого клиента.

А в качестве сервера кто? Vds? Если vds то можно клиентам раздать ipv6 от vds. Я так делаю. Без nat.

Правильно так: Или так: https://bgp.he.net/AS35807#_prefixes https://bgp.he.net/AS35807#_prefixes6

Так и делаю. Но мне кажется это не правильно.

С этими правилами не работает tproxy, если используется порт 443. Стоит изменить порт, на отличный от 443 и все приходит в норму.

4.3a9 не исправлено

Для ipv6 нат не нужен. Для ленивых и тех, кто не осилил ipv6, нужен. Т.е нужно разделение на nat4 и nat6. Примеры: 1. У меня есть ipv6 (2000::/3) от провайдера, я могу раздать ipv6 адреса из своего диапазона своим клиентам. Nat6 не нужен. Но надо настроить neigh proxy (ndp). 2. У меня есть ipv6 (2000::/3) от провайдера, но я ленивый и раздал wg-клиентам локальные ip fс00::/7 Nat6 нужен. Я придерживаюсь мнения, что nat для v6 вообще не нужен. Тем кому нужен, пусть через entware включают. Поэтому под понятием NAT предлагаю понимать только NAT4.

У меня нету таких цепочек. 4.3.a7 $ iptables -nvL _NDM_DNS_FORWARD_BLOCK iptables: No chain/target/match by that name.

Разобрался. Не хватало модуля ip_set_*.ko

Добрый вечер! Не могу создать ipset hash:ip,port ~ # ipset create block hash:ip,port ipset v7.21: Kernel error received: set type not supported В чем кариес?

4.3.a7 Не исправлено.

chmod +x /opt/etc/init.d/S52ipset-dns