IPv6 через туннель wireguard

[Le ecureuil]

31 минуту назад, Sano сказал:

А если global но /128, как быть? 

Логично было бы включать и для него

Логично, давайте так и сделаем - 128 тоже добавлю.

[Le ecureuil]

В следующей 4.3 будет.

[avn]

В 20.01.2025 в 11:32, Le ecureuil сказал:

Потому что такой адрес дает провайдер.

Сейчас nat66 включается автоматически только если стоит site-local адрес.

Зачем мне nat66 с префиксом 2a12::/128. Я хочу его выключить. Как это сделать?

[Le ecureuil]

2 часа назад, avn сказал:

Зачем мне nat66 с префиксом 2a12::/128. Я хочу его выключить. Как это сделать?

Поставить апстрим-префикс шире, чем 128, например 64.

[avn]

В 21.01.2025 в 21:42, Le ecureuil сказал:

Поставить апстрим-префикс шире, чем 128, например 64.

Все равно нат66.

 

$ ip6tables-save|grep MASQ                                  
-A _NDM_POSTROUTING -o nwg0 -j MASQUERADE

nwg0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:172.16.97.91  P-t-P:172.16.97.91  Mask:255.255.255.255
          inet6 addr: 2a12:0000:0000:9700::91/64 Scope:Global
          UP POINTOPOINT RUNNING NOARP  MTU:1280  Metric:1
          RX packets:86667 errors:0 dropped:0 overruns:0 frame:0
          TX packets:88782 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:50
          RX bytes:10858184 (10.3 MiB)  TX bytes:12720892 (12.1 MiB)

 

Изменено 23 января пользователем avn

[Le ecureuil]

По обрубкам вывода ничего неясно, нужно бы полноценный self-test.

[avn]

В 23.01.2025 в 11:53, Le ecureuil сказал:

По обрубкам вывода ничего неясно, нужно бы полноценный self-test.

Есть предположения? Диагностику высылал.

[qmxocynjca]

В 20.01.2025 в 18:38, Le ecureuil сказал:

Логично, давайте так и сделаем - 128 тоже добавлю.

Проверил на 4.3.1, похоже вся эта магия работает только для основного профиля. В моём случае есть отдельный профиль, где это соединение я подвинул на самый верх. Завожу устройство в этот профиль и получаю фигу.

Если при этом пошурудить основной профиль (двинуть там IPv6 соединение в самый верх), то внезапно на этом дополнительном профиле девайсы начинают видеть IPv6 маршрут и ходить по нему успешно.

self-test следующим сообщением прикрепил.

Изменено 9 мая пользователем qmxocynjca

[maksimkurb]

Тоже самое: через WireGuard интерфейс выход в интернет по IPv6 работает только если ставить его первым в приоритетах. На WireGuard внутренний Ipv6 адрес "fd00:1234:5678::2/64" (/128 тоже пробовал), пинги до ресурсов IPv6 через WG не идут:

~ # ping6 -i 1 -w 2 -I fd00:1234:5678::2 ifconfig.co
PING ifconfig.co (2606:4700:3030::ac43:a86a) from fd00:1234:5678::2: 56 data bytes

--- ifconfig.co ping statistics ---
2 packets transmitted, 0 packets received, 100% packet loss

~ # ip6tables-save | grep MASQ
-A _NDM_POSTROUTING -o nwg4 -j MASQUERADE

Но помогает если вручную добавить правила маршрутизации:

~ # ip -6 route add default dev nwg4 table 1234
~ # ip -6 rule add from fd00:1234:5678::2/128 lookup 1234
~ # ping6 -i 1 -w 2 -I fd00:1234:5678::2 ifconfig.co
PING ifconfig.co (2606:4700:3030::ac43:a86a) from fd00:1234:5678::2: 56 data bytes
64 bytes from 2606:4700:3030::ac43:a86a: seq=0 ttl=57 time=54.617 ms
64 bytes from 2606:4700:3030::ac43:a86a: seq=1 ttl=57 time=54.229 ms

--- ifconfig.co ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 54.229/54.423/54.617 ms

 

Есть ли возможность как-то добавить такие правила через CLI или через интерфейс, чтобы не приходилось через OPKG костылить?

Self-test прикреплю следующим скрытым сообщением

 

UPD: конфиги WG:

# Server

[Interface]
PrivateKey = [REDACTED]

Address = 10.9.9.1/24, fd00:1234:5678::1/64
ListenPort = [REDACTED]
[AWG REDACTED]

PostUp = iptables -A INPUT -p udp --dport [REDACTED PORT] -m conntrack --ctstate NEW -j ACCEPT --wait 10 --wait-interval 50
PostUp = iptables -A FORWARD -i ens3 -o awg0 -j ACCEPT --wait 10 --wait-interval 50
PostUp = iptables -A FORWARD -i awg0 -j ACCEPT --wait 10 --wait-interval 50
PostUp = iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE --wait 10 --wait-interval 50
PostUp = ip6tables -A INPUT -p udp --dport [REDACTED PORT] -m conntrack --ctstate NEW -j ACCEPT --wait 10 --wait-interval 50
PostUp = ip6tables -A FORWARD -i ens3 -o awg0 -j ACCEPT --wait 10 --wait-interval 50
PostUp = ip6tables -A FORWARD -i awg0 -j ACCEPT --wait 10 --wait-interval 50
PostUp = ip6tables -t nat -A POSTROUTING -o ens3 -j MASQUERADE --wait 10 --wait-interval 50

PostDown = iptables -D INPUT -p udp --dport [REDACTED PORT] -m conntrack --ctstate NEW -j ACCEPT --wait 10 --wait-interval 50
PostDown = iptables -D FORWARD -i ens3 -o awg0 -j ACCEPT --wait 10 --wait-interval 50
PostDown = iptables -D FORWARD -i awg0 -j ACCEPT --wait 10 --wait-interval 50
PostDown = iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE --wait 10 --wait-interval 50
PostDown = ip6tables -D INPUT -p udp --dport [REDACTED PORT] -m conntrack --ctstate NEW -j ACCEPT --wait 10 --wait-interval 50
PostDown = ip6tables -D FORWARD -i ens3 -o awg0 -j ACCEPT --wait 10 --wait-interval 50
PostDown = ip6tables -D FORWARD -i awg0 -j ACCEPT --wait 10 --wait-interval 50
PostDown = ip6tables -t nat -D POSTROUTING -o ens3 -j MASQUERADE --wait 10 --wait-interval 50


[Peer]
PublicKey = [REDACTED]
AllowedIPs = 10.9.9.2/32, fd00:1234:5678::2/128


----

# client

[Interface]
Address = 10.9.9.2/24, fd00:1234:5678::2/128 # <-- пробовал на кинетике указывать /128 и /64, разницы в поведении не заметил
PrivateKey = [REDACTED]
DNS = 8.8.8.8
[AWG REDACTED]

[Peer]
PublicKey = [REDACTED]
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
Endpoint = [REDACTED]
PersistentKeepalive = 60

 

Изменено вчера в 11:23 пользователем maksimkurb