IPv6 через туннель wireguard

[le_]

В домашней сети работает Keenetic Extra.

Провайдер домашнего интернета дает мне только IPv4-адрес из приватной сети (NAT).

Имеется VPS к которому с роутера (Keenetic) настроен туннель wireguard. Адреса на концах туннеля: 10.0.0.1, fd00:1:1::1 - VPS, и 10.0.0.2, fd00:1:1::2- Keenetic.

Я уже настроил нужные маршруты по IPv4 через туннель.

VPS имеет публичный IPv6-адрес (доступен из Интернет): 2a03:****:****::****/64.

Вопрос: как сделать так, чтобы устройства в домашней сети имели доступ в интернет по IPv6 через туннель wireguard на роутере?

Т.е., чтобы с ноутбука в домашней сети пинговался [например] google c IP 2001:4860:4860::8888...

[snark]

Могу посоветовать статью

https://blog.kvv213.com/2022/06/hochu-ipv6-no-chto-delat-esli-tvoj-provajder-kozlina-prokidyvaem-ipv6-v-svoju-set-cherez-vps-i-wireguard/

Edited April 26, 2023 by snark

[avn]

47 минут назад, le_ сказал:

В домашней сети работает Keenetic Extra.

Провайдер домашнего интернета дает мне только IPv4-адрес из приватной сети (NAT).

Имеется VPS к которому с роутера (Keenetic) настроен туннель wireguard. Адреса на концах туннеля: 10.0.0.1, fd00:1:1::1 - VPS, и 10.0.0.2, fd00:1:1::2- Keenetic.

Я уже настроил нужные маршруты по IPv4 через туннель.

VPS имеет публичный IPv6-адрес (доступен из Интернет): 2a03:****:****::****/64.

Вопрос: как сделать так, чтобы устройства в домашней сети имели доступ в интернет по IPv6 через туннель wireguard на роутере?

Т.е., чтобы с ноутбука в домашней сети пинговался [например] google c IP 2001:4860:4860::8888...

Читайте про ipv6 и proxy_ndp

[le_]

Тут пишут,что штатно это пока нельзя настроить...

[avn]

7 минут назад, le_ сказал:

Тут пишут,что штатно это пока нельзя настроить...

В 4.x уже бегает штатно. Штатно proxy_ndp думаю и не будет, только entware. Механизм мало кому нужный. Мало того требуется и его настройка на VPS.

Edited April 27, 2023 by avn

[le_]

1 минуту назад, avn сказал:

В 4.x уже бегает штатно.

Это из "Предварительного" канала обновлений (того, что в стадии тестирования)? А проблем там никаких не наблюдается?

[le_]

В 26.04.2023 в 16:07, avn сказал:

Читайте про ipv6 и proxy_ndp

А можете подробнее рассказать, как это должно работать с proxy_ndp?  Я просто никогда с подобным не сталкивался.

Почему нельзя просто указать маршрут на роутере в ::/0 через туннель?
Мне не нужен доступ к домашним устройствам по IPv6, только с них доступ в интернет по IPv6...

Edited April 28, 2023 by le_

[Patch17]

On 4/27/2023 at 2:18 PM, avn said:

В 4.x уже бегает штатно. Штатно proxy_ndp думаю и не будет, только entware. Механизм мало кому нужный. Мало того требуется и его настройка на VPS.

Вы же про wireguard говорите? Поставил сейчас Alpha 20, на Ultra ради ipv6 в wg, и интерфейс по прежнему не имеет возможности указать подсеть 6 версии.

[avn]

В 28.04.2023 в 18:16, Patch17 сказал:

Вы же про wireguard говорите? Поставил сейчас Alpha 20, на Ultra ради ipv6 в wg, и интерфейс по прежнему не имеет возможности указать подсеть 6 версии.

keenetic/a

interface Wireguard2 ipv6 address 2606:4700::99
interface Wireguard2 wireguard peer <peer> allow-ips 2000:: 3

 

[seeii]

В 18.05.2023 в 14:12, avn сказал:

keenetic/a

interface Wireguard2 ipv6 address 2606:4700::99
interface Wireguard2 wireguard peer <peer> allow-ips 2000:: 3

 

Добавил IPv6 в wireguard пинг работает, больше ничего, с устройств подключённых через  Wireguard по прежнему только IPv4

Прошивка 4.0 beta 1

[avn]

1 час назад, seeii сказал:

 

Добавил IPv6 в wireguard пинг работает, больше ничего, с устройств подключённых через  Wireguard по прежнему только IPv4

Прошивка 4.0 beta 1

А причем здесь устройства, подключенные через wireguard? На всех устройствах должны быть ipv6 адреса, не от wg, а от провайдера из диапазона 2000::/3. Если вы хотите пробросить адреса на устройства через wg, то это proxy_ndp. Или можно ещё попробовать nat6 настроить, что не правильно. В общем, не понятно что у Вас не работает и почему это должно работать.

[seeii]

8 часов назад, avn сказал:

А причем здесь устройства, подключенные через wireguard? На всех устройствах должны быть ipv6 адреса, не от wg, а от провайдера из диапазона 2000::/3. Если вы хотите пробросить адреса на устройства через wg, то это proxy_ndp. Или можно ещё попробовать nat6 настроить, что не правильно. В общем, не понятно что у Вас не работает и почему это должно работать.

круто, https://blog.kvv213.com/2022/06/hochu-ipv6-no-chto-delat-esli-tvoj-provajder-kozlina-prokidyvaem-ipv6-v-svoju-set-cherez-vps-i-wireguard/

если есть IPv6 у wireguard провайдера, и как бы на keenetic то как мне настроить чтобы компы ходили через IPv6 что уже в кинетике

Я понял, что не работало, а можно настроить NATv6  на keenetic?

Edited June 2, 2023 by seeii

[seeii]

А почему находясь в сети по умолчанию, Домашней сети, у меня pingv6 не проходит?
ping6 fe80::fff7:5bff:d814:b3b2

 

я сам себя даже пингануть не могу

[avn]

3 часа назад, seeii сказал:

А почему находясь в сети по умолчанию, Домашней сети, у меня pingv6 не проходит?
ping6 fe80::fff7:5bff:d814:b3b2

 

я сам себя даже пингануть не могу

Потому-что fe80:: это link-local адреса. Вам же надо раздать всем устройствам в сети ipv6-ULA адреса. Тогда все заработает, при условии включения маскардинга на интерфейсе wg.

Edited June 2, 2023 by avn

[avn]

Вам нужна такая схема, но не каждый VPS ее поддерживает. Тут нужно экспериментировать, либо ругаться с провайдерами. WG IPv6 NDP

Edited June 2, 2023 by avn

[avn]

В 26.04.2023 в 15:20, le_ сказал:

В домашней сети работает Keenetic Extra.

Провайдер домашнего интернета дает мне только IPv4-адрес из приватной сети (NAT).

Имеется VPS к которому с роутера (Keenetic) настроен туннель wireguard. Адреса на концах туннеля: 10.0.0.1, fd00:1:1::1 - VPS, и 10.0.0.2, fd00:1:1::2- Keenetic.

Я уже настроил нужные маршруты по IPv4 через туннель.

VPS имеет публичный IPv6-адрес (доступен из Интернет): 2a03:****:****::****/64.

Вопрос: как сделать так, чтобы устройства в домашней сети имели доступ в интернет по IPv6 через туннель wireguard на роутере?

Т.е., чтобы с ноутбука в домашней сети пинговался [например] google c IP 2001:4860:4860::8888...

 

Edited June 2, 2023 by avn

[seeii]

11 час назад, avn сказал:

Вам нужна такая схема, но не каждый VPS ее поддерживает. Тут нужно экспериментировать, либо ругаться с провайдерами. WG IPv6 NDP

вроде мне провайдер позволяет коннет через wireguard IPv6, с компа могу зайти через wireguard и IPv6 работает

Edited June 2, 2023 by seeii

[avn]

12 часа назад, seeii сказал:

вроде мне провайдер позволяет коннет через wireguard IPv6, с компа могу зайти через wireguard и IPv6 работает

Все правильно, ip адрес wg у вас на компьютере, и все работает. А когда wg на роутере - ipv6 адрес на роутере, а на компьютере ipv6 адреса нету и ничего не работает. Надо раздать ula адреса в сеть, а для wg на роутере настроить нат. Для вас самая простая схема. 

[seeii]

9 минут назад, avn сказал:

Все правильно, ip адрес wg у вас на компьютере, и все работает. А когда wg на роутере - ipv6 адрес на роутере, а на компьютере ipv6 адреса нету и ничего не работает. Надо раздать ula адреса в сеть, а для wg на роутере настроить нат. Для вас самая простая схема. 

Можно по подробнее или ссылку на какой-нибудь мануал почитать как настроить. Заранее благодарю

[seeii]

По пробовал прошивку 4.0 Beta 3

Ошибка выключаешь одно соединение  wireguard гаснут все индикаторы пир (зеленые)  осталась,
прописал
(config-if)> ipv6 address fd11:5ee:bad:c0de::3
(config-if)> wireguard peer ddFK5MyKEYYYd0E= allow-ips ::0/0
(config-if)> system configuration save

ping6 работает, компы под подключением как сидели на IPv4 так и остаются

Edited June 24, 2023 by seeii

[qmxocynjca]

Имею схожую конфигурацию - ipv6 от провайдера нет, в WG-интерфейсе есть только /128 адрес. На роутере ipv6 работает, а в локальной сети нет.

Можно поподробней про nat6? Нужно какие-то настройки включить в CLI или нужно что-то через entware мудрить? Хочу просто пустить клиентов через тот ipv6, что доступен на WG интерфейсе.

Upd: Получилось завести nat6, долго не мог понять почему не работает, пока не добавил это правило: 

ip6tables -A FORWARD -o nwg0 -j ACCEPT

Однако, роутер не сигнализирует что он может роутить ipv6. Если руками добавить ipv6 gateway на устройстве локальной сети, то всё работает. На сколько я понял, `AdvDefaultLifetime 0` в /var/run/radvd.conf как раз препятствует анонсу роутера как ipv6 гейтвея. Есть идеи как заставить прошивку выставить это значение в ненулевое?

Upd2: вот так выкрутился, но хотелось бы просто иметь опцию в ipv6 subnet:

/opt/etc/ndm/ifip6changed.d$ cat radvd-router-announce.sh
#!/bin/sh

# Path to the radvd configuration file
CONFIG_FILE="/var/run/radvd.conf"

# Check if the file exists
if [[ ! -f "$CONFIG_FILE" ]]; then
    logger "Error: $CONFIG_FILE does not exist."
    exit 1
fi

# Check if "AdvDefaultLifetime 0" exists in the file
if grep -q "AdvDefaultLifetime 0" "$CONFIG_FILE"; then
    # Perform the replacement
    sed -i 's/AdvDefaultLifetime 0/AdvDefaultLifetime 1800/' "$CONFIG_FILE"
    logger "Replaced 'AdvDefaultLifetime 0' with 'AdvDefaultLifetime 1800' in $CONFIG_FILE."

    # Send SIGHUP to radvd to reload the configuration
    if pidof radvd > /dev/null; then
        logger "Sending SIGHUP to radvd..."
        killall -s HUP radvd
        logger "SIGHUP signal sent to radvd."
    else
        logger "Error: radvd is not running."
        exit 1
    fi
else
    logger "No replacement needed: 'AdvDefaultLifetime 0' not found in $CONFIG_FILE."
fi

 

Edited December 29, 2024 by qmxocynjca

[avn]

4 часа назад, qmxocynjca сказал:

Имею схожую конфигурацию - ipv6 от провайдера нет, в WG-интерфейсе есть только /128 адрес. На роутере ipv6 работает, а в локальной сети нет.

Можно поподробней про nat6? Нужно какие-то настройки включить в CLI или нужно что-то через entware мудрить? Хочу просто пустить клиентов через тот ipv6, что доступен на WG интерфейсе.

Upd: Получилось завести nat6, долго не мог понять почему не работает, пока не добавил это правило: 

ip6tables -A FORWARD -o nwg0 -j ACCEPT

Однако, роутер не сигнализирует что он может роутить ipv6. Если руками добавить ipv6 gateway на устройстве локальной сети, то всё работает. На сколько я понял, `AdvDefaultLifetime 0` в /var/run/radvd.conf как раз препятствует анонсу роутера как ipv6 гейтвея. Есть идеи как заставить прошивку выставить это значение в ненулевое?

Upd2: вот так выкрутился, но хотелось бы просто иметь опцию в ipv6 subnet:

/opt/etc/ndm/ifip6changed.d$ cat radvd-router-announce.sh
#!/bin/sh

# Path to the radvd configuration file
CONFIG_FILE="/var/run/radvd.conf"

# Check if the file exists
if [[ ! -f "$CONFIG_FILE" ]]; then
    logger "Error: $CONFIG_FILE does not exist."
    exit 1
fi

# Check if "AdvDefaultLifetime 0" exists in the file
if grep -q "AdvDefaultLifetime 0" "$CONFIG_FILE"; then
    # Perform the replacement
    sed -i 's/AdvDefaultLifetime 0/AdvDefaultLifetime 1800/' "$CONFIG_FILE"
    logger "Replaced 'AdvDefaultLifetime 0' with 'AdvDefaultLifetime 1800' in $CONFIG_FILE."

    # Send SIGHUP to radvd to reload the configuration
    if pidof radvd > /dev/null; then
        logger "Sending SIGHUP to radvd..."
        killall -s HUP radvd
        logger "SIGHUP signal sent to radvd."
    else
        logger "Error: radvd is not running."
        exit 1
    fi
else
    logger "No replacement needed: 'AdvDefaultLifetime 0' not found in $CONFIG_FILE."
fi

 

А в качестве сервера кто? Vds? Если vds то можно клиентам раздать ipv6 от vds. Я так делаю. Без nat.

Edited December 29, 2024 by avn

[qmxocynjca]

51 минуту назад, avn сказал:

А в качестве сервера кто? Vds? Если vds то можно клиентам раздать ipv6 от vds. Я так делаю. Без nat.

Сторонний VPN сервис. 

[Le ecureuil]

Вообще все уже есть в стандартной поставке, только настраивается неочевидно.

Просто так NAT66 включить не выйдет, поскольку нужно в локалку раздать какой-то префикс. Потому на Wireguard0 через команду interface Wireguard0 ipv6 prefix вешаете prefix из site-local сети (fd00::/8), он будет роздан в локалку и автоматически включится NAT66. Если же префикс будет "реальный", то NAT66 не включится.

[qmxocynjca]

4 часа назад, Le ecureuil сказал:

Вообще все уже есть в стандартной поставке, только настраивается неочевидно.

Просто так NAT66 включить не выйдет, поскольку нужно в локалку раздать какой-то префикс. Потому на Wireguard0 через команду interface Wireguard0 ipv6 prefix вешаете prefix из site-local сети (fd00::/8), он будет роздан в локалку и автоматически включится NAT66. Если же префикс будет "реальный", то NAT66 не включится.

В этом случае в radvd конфиге появляется два префикса, и особо ничего не меняется без принудительного выставления AdvDefaultLifetime в ненулевое значение. Тут появляются дополнительные вопросы: нужен ли при этом активный ipv6 local-prefix? Нужно ли иметь ipv6 subnet и к чему её биндить? Скорей всего для вас это базовые вещи, но мне это вообще не очевидно. Методом тыка увидел, что если ipv6 subnet отсутствует то radvd вообще не запускается.

У меня сейчас основная претензия к тому, что роутер не является ipv6 роутером без костыля с AdvDefaultLifetime.

Edited December 30, 2024 by qmxocynjca

[Le ecureuil]

21 час назад, qmxocynjca сказал:

Тут появляются дополнительные вопросы: нужен ли при этом активный ipv6 local-prefix? Нужно ли иметь ipv6 subnet и к чему её биндить?

По идее нет, если префикс стоит на WAN, то этого достаточно обычно.

[qmxocynjca]

В 30.12.2024 в 14:29, Le ecureuil сказал:

Вообще все уже есть в стандартной поставке, только настраивается неочевидно.

Просто так NAT66 включить не выйдет, поскольку нужно в локалку раздать какой-то префикс. Потому на Wireguard0 через команду interface Wireguard0 ipv6 prefix вешаете prefix из site-local сети (fd00::/8), он будет роздан в локалку и автоматически включится NAT66. Если же префикс будет "реальный", то NAT66 не включится.

 

В 31.12.2024 в 16:07, Le ecureuil сказал:

По идее нет, если префикс стоит на WAN, то этого достаточно обычно.

При правильно настроенной такой конфигурации AdvDefaultLifetime должен стать ненулевым? Или роутинг должен завестись с помощью какой-то ipv6 магии? Мне не очень понятно - связан ли NAT66 и radvd в недрах исходников Кинетика таким образом, что если всё сходится, то ipv6 роутинг в домашней сети будет анонсироваться всем устройствам даже с нулевым AdvDefaultLifetime? В моём понимании если у меня NAT66, то default router должен анонсироваться в домашнюю локалку как раз через этот параметр, но Кинетик упорно ставит его в 0.

Напомню: в моём случае ipv6 нет нигде (включая WAN), кроме WG-интерфейса с /128 адресом. В своих экспериментах я получил рабочий вариант с ipv6 subnet забинденным на домашний интерфейс, ACCEPT правилом в ip6tables FORWARD и переписыванием AdvDefaultLifetime руками. То есть NAT66 по идее работает - Windows и Apple девайсы видят ipv6 и ходят через Кинетик->WG успешно, но они могут это делать без дополнительной настройки только если AdvDefaultLifetime ненулевой.

[Mr.Weegley]

В 30.12.2024 в 01:29, avn сказал:

А в качестве сервера кто? Vds? Если vds то можно клиентам раздать ipv6 от vds. Я так делаю. Без nat.

Можно подробностей? Кажется, у Вас схожая с моей история.

Имеется VDS с /48 IPv6, На кинетике Wireguard0 (nwg0) с /64 префиксом. Кинетик IPv6 гоняет отлично, но клиентам не раздаёт.

[reddaddy]

keenos 4.3А12

Подскажите, если ipv6 с /48 роутер получает по туннелю 6in4 от брокера, как раздать ipv6 клиентам подключенным к роутеру по wireguard? Хочу с мобильного ходить по ipv6 через домашнего провайдера.

Возможно такое вообще реализовать в настоящее время?

[avn]

В 06.01.2025 в 19:34, Mr.Weegley сказал:

Можно подробностей? Кажется, у Вас схожая с моей история.

Имеется VDS с /48 IPv6, На кинетике Wireguard0 (nwg0) с /64 префиксом. Кинетик IPv6 гоняет отлично, но клиентам не раздаёт.

Я раздавал ipv6 клиентам Wireguard (пирам) путем прописывания ipv6 адреса у каждого клиента.