Heggi

Через Yggdrasil может работать всё что может работать по ipv6. Т.е. можно на своем сервере за бугром поднять прокси и сделать его доступным только через yggdrasil. И наш горячо любимый ... не сможет его заблокировать (только весь yggdrasil целиком). Или поднять там WG/openvpn сервер, но сам кинетик штатными клиентами по ipv6 работать не умеет (у меня не удалось его заставить работать и где-то тут на форуме было упоминание, что это ограничение ndms) Но сам yggdrasil - это не впн и не средство обхода как таковое. Это просто оверлейная сеть поверх интернет, которая, в силу своей архитектуры, более устойчива к сбоям.

После того, как я не смог победить мультихоминг с двумя 6to4 туннелями, я маршруты в Яндекс оставил эксклюзивными в сторону второго (отключенного) туннеля и Яндекс прекрасно работает по ipv4 без затупов.

Я тут покумекал и скрестил yggdrasil с обычной сетью Ipv6. Приведенные выше примеры настройки подразумевают, что в локалке нет ipv6 и используют radvd запущенный в Entware для анонса 300::/64 сети. Но, если в локалке уже есть ipv6, то на роутере уже запущен его штатный radvd и как его поднастроить, чтобы он начал анонсить еще и 300::/64 не понятно (вариант с фейковым 6to4 туннелем я видел, но не стал экспериментировать). Так же я почитал гитхаб (https://github.com/yggdrasil-network/yggdrasil-go/issues/779) и выяснил, что сама сеть 300::/64 оказывается неустойчива к подбору приватных ключей и лучше бы её не использовать вообще. Но основная цель моих изысканий - это чтобы компьютеры в локалке имели доступ к ресурсам в сети yggdrasil без установки дополнительного софта. Отсюда вывод: нам не нужно анонсить 300::/64 в локалку, нам надо использовать уже существующие ipv6 адреса, но запросы в сеть yggdrasil надо NATить (иначе ответный пакет дорогу назад не найдет) Результат кумеканья во вложенном файле. Его нужно закинуть в /opt/etc/ndm/netfilter.d/, настроить имена интерфейсов и один раз запустить (или ребутнуть роутер) Скрипт разрешает форвардинг из локалки в yggdrasil и делает маскарадинг для исходящих пакетов. Таким образом все запросы от вас будут уходить с ipv6 адресом вашей ноды (200::/7) P.S. Короткий мануал по настройке Делаем как в стартовом посте, но не ставим radvd и пропускаем все шаги по его настройке. Скрипт iptables.sh заменяем на yggdrasil.sh из моего сообщения. P.P.S. оказывается есть русскоязычный wiki https://yggwiki.cc/ P.P.P.S. Для работы доменов *.ygg нужно добавить DNS сервер из сети yggdrasil. Список можно подсмотреть тут: https://yggwiki.cc/yggdrasil:dns:internal_dns Делаем в CLI: ipv6 name-server 301:84f7:4bc0:2f3a::53 (или любой другой сервер) system configuration save yggdrasil.sh

Подскажите, оно совместимо с обычным ipv6?

Да, вы правы. Но работает он у меня настолько отвратительно, что можно сказать не работает. Включение второго провайдера с ipv6 у меня ломает ipv6 вообще

NPTv6 нужен, но в кинетике его нет. А что делает ipv6 pass-throught я что-то так и не нашел.

Провайдер на роутер может /128 выдавать. Но должен еще выдавать префикс для делегирования в домашнюю сеть.

Пытаюсь заставить подключиться клиента с кинетика на сервер по ipv6. На сервере прописал: proto udp6, сервер поднялся, слушает порт на ipv6. На клиенте пробовал по-разному: remote 2000:xxxx::xxxxx yyyy udp6 и так proto udp6 remote 2000:xxxx::xxxxx yyyy Во всех случаях результат один и тот же - в логах странные записи: OpenVPN 2.6.13 [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [MH/PKTINFO] [AEAD] [DCO] library versions: OpenSSL 3.0.18 30 Sep 2025, LZO 2.10 RESOLVE: Cannot resolve host address: ххх.ххх.ххх.ххх:44322 (Name has no usable address) Exiting due to fatal error Service: "OpenVPN0": unexpectedly stopped. Network::Interface::EndpointTracker: "OpenVPN0": added a host route to 1.2.3.4 via PPPoE0 (PPPoE0). Network::Interface::EndpointTracker: "OpenVPN0": remote endpoint is "1.2.3.4". Network::Interface::EndpointTracker: "OpenVPN0": connecting via "PPPoE0" (PPPoE0). Network::Interface::EndpointTracker: "OpenVPN0": local endpoint is "ххх.ххх.ххх.ххх". Тут ххх.ххх.ххх.ххх - мой локальный IP (на роутере) Откуда взялся 1.2.3.4, если я указал конкретный ipv6 адрес? Такое ощущение, что OpenVpn собран без поддержки ipv6 или меня лыжи не той конфигурации. P.S. этот же клиент по ipv4 адресу подключается без проблем P.P.S. пробовал на прошивках 5.0.3 и 5.0.7

Невозможно добавить статический маршрут в Web-интерфейсе: 1. Невозможно выбрать интерфейс из подключении IPv6 через IPv4 (туннельные брокеры отсутствуют в списке) 2. Если выбрать "любой интерфейс", то поле "Адрес шлюза" на любой Ipv6 адрес ругается "IP-адрес из другой подсети" Маршрут, добавленный через консоль (ipv6 route 2a02:6b8::/32 TunnelSixInFour1) в веб-интерфейсе отображается корректно, но при попытке отредактировать проблемы как при добавлении (интерфейс не выбран, поле "Адрес шлюза" не заполнен и ругается на "IP-адрес из другой подсети") Установленная версия 5.0 Beta 1

Нужно запретить доступ из домашней сети на некоторые ipv6 адреса. На хабре советуют прописать что-то типа ip6tables -I FORWARD -d 20xx:xxxx:xxxx::/32 -j REJECT Попробовал это сделать из под entware и оно сработало (браузер переключается на ipv4 для этого сайта) Теперь вопрос как это сделать через настройки самого роутера (web или telnet), т.к. вмешиваться напрямую в iptables через entware мне не кажется такой уж и хорошей идеей.

Я так понимаю, что поддержка пакета умерла? Актуальная версия - 0.5.1, а в репозитории лежит версия 0.4.7-1

Интересен тогда механизм выбора адреса ipv6 клиентом. Я тут уже погрузился в RFC разные и понял, то что хочу я, не решается без NAT на стороне роутера.

https://blog.ipspace.net/2011/12/ipv6-multihoming-without-nat-problem.html Нашел статью, похоже то что я хочу реализовать невозможно на одном роутере. Для нормального ipv6 multihoming требуется 2 роутера (каждый со своим интернет-каналом)

Ок, на уровне роутера маршруты я настроил. Как теперь это объяснить девайсам в сети? Потому что вот так: На сети яндекса маршрут через Ip4market, а все остальное через he.net. И если для остальных (любых других) ресурсов используется IP адрес ip4market, то нифига не работает.

Имею обычный ipv4 интернет и 2 ipv6 через разных брокеров (he.net и ip4market). Оба брокера дают delegated сетку для выдачи адресов устройствам в локальной сети. Дальше начинаются фокусы, связанные (как я думаю) с тем, что брокеры не пропускают не "свой" трафик. Компьютер в локалке получает 2 IPv6 адреса, на самом кинетике дефолтный роут указывает только на один из брокеров (что логично). Фокусы начинаются, когда компьютер для подключения использует адрес от одного брокера, в то время как дефолтный роут смотрит на другого - соединение не происходит. Пример. Адрес 2a03:xxx:123 от ip4market, 2001:xxx:321 от he.net. Дефолтный роут повернут в he.net. Если компьютер решил подключиться с адреса 2a03:xxx:123, то соединение не пройдет, если с 2001:xxx:321, то пройдет. Что же я хочу получить - вход на ресурсы РФ через брокера ip4market, а на зарубежные через he.net. Можно на самом роутере добавить статические маршруты на нужные подсети (можно ведь? через вебморду нельзя, но через консоль, надеюсь можно?), но как объяснить компу и всяким смартфоно-телевизорам какой из адресов использовать для каких ресурсов?