IPv6 через туннель wireguard

[Le ecureuil]

31 минуту назад, Sano сказал:

А если global но /128, как быть? 

Логично было бы включать и для него

Логично, давайте так и сделаем - 128 тоже добавлю.

[Le ecureuil]

В следующей 4.3 будет.

[avn]

В 20.01.2025 в 11:32, Le ecureuil сказал:

Потому что такой адрес дает провайдер.

Сейчас nat66 включается автоматически только если стоит site-local адрес.

Зачем мне nat66 с префиксом 2a12::/128. Я хочу его выключить. Как это сделать?

[Le ecureuil]

2 часа назад, avn сказал:

Зачем мне nat66 с префиксом 2a12::/128. Я хочу его выключить. Как это сделать?

Поставить апстрим-префикс шире, чем 128, например 64.

[avn]

В 21.01.2025 в 21:42, Le ecureuil сказал:

Поставить апстрим-префикс шире, чем 128, например 64.

Все равно нат66.

 

$ ip6tables-save|grep MASQ                                  
-A _NDM_POSTROUTING -o nwg0 -j MASQUERADE

nwg0      Link encap:UNSPEC  HWaddr 00-00-00-00-00-00-00-00-00-00-00-00-00-00-00-00
          inet addr:172.16.97.91  P-t-P:172.16.97.91  Mask:255.255.255.255
          inet6 addr: 2a12:0000:0000:9700::91/64 Scope:Global
          UP POINTOPOINT RUNNING NOARP  MTU:1280  Metric:1
          RX packets:86667 errors:0 dropped:0 overruns:0 frame:0
          TX packets:88782 errors:0 dropped:1 overruns:0 carrier:0
          collisions:0 txqueuelen:50
          RX bytes:10858184 (10.3 MiB)  TX bytes:12720892 (12.1 MiB)

 

Изменено 23 января, 2025 пользователем avn

[Le ecureuil]

По обрубкам вывода ничего неясно, нужно бы полноценный self-test.

[avn]

В 23.01.2025 в 11:53, Le ecureuil сказал:

По обрубкам вывода ничего неясно, нужно бы полноценный self-test.

Есть предположения? Диагностику высылал.

[qmxocynjca]

В 20.01.2025 в 18:38, Le ecureuil сказал:

Логично, давайте так и сделаем - 128 тоже добавлю.

Проверил на 4.3.1, похоже вся эта магия работает только для основного профиля. В моём случае есть отдельный профиль, где это соединение я подвинул на самый верх. Завожу устройство в этот профиль и получаю фигу.

Если при этом пошурудить основной профиль (двинуть там IPv6 соединение в самый верх), то внезапно на этом дополнительном профиле девайсы начинают видеть IPv6 маршрут и ходить по нему успешно.

self-test следующим сообщением прикрепил.

Изменено 9 мая, 2025 пользователем qmxocynjca

[maksimkurb]

Тоже самое: через WireGuard интерфейс выход в интернет по IPv6 работает только если ставить его первым в приоритетах. На WireGuard внутренний Ipv6 адрес "fd00:1234:5678::2/64" (/128 тоже пробовал), пинги до ресурсов IPv6 через WG не идут:

~ # ping6 -i 1 -w 2 -I fd00:1234:5678::2 ifconfig.co
PING ifconfig.co (2606:4700:3030::ac43:a86a) from fd00:1234:5678::2: 56 data bytes

--- ifconfig.co ping statistics ---
2 packets transmitted, 0 packets received, 100% packet loss

~ # ip6tables-save | grep MASQ
-A _NDM_POSTROUTING -o nwg4 -j MASQUERADE

Но помогает если вручную добавить правила маршрутизации:

~ # ip -6 route add default dev nwg4 table 1234
~ # ip -6 rule add from fd00:1234:5678::2/128 lookup 1234
~ # ping6 -i 1 -w 2 -I fd00:1234:5678::2 ifconfig.co
PING ifconfig.co (2606:4700:3030::ac43:a86a) from fd00:1234:5678::2: 56 data bytes
64 bytes from 2606:4700:3030::ac43:a86a: seq=0 ttl=57 time=54.617 ms
64 bytes from 2606:4700:3030::ac43:a86a: seq=1 ttl=57 time=54.229 ms

--- ifconfig.co ping statistics ---
2 packets transmitted, 2 packets received, 0% packet loss
round-trip min/avg/max = 54.229/54.423/54.617 ms

 

Есть ли возможность как-то добавить такие правила через CLI или через интерфейс, чтобы не приходилось через OPKG костылить?

Self-test прикреплю следующим скрытым сообщением

 

UPD: конфиги WG:

# Server

[Interface]
PrivateKey = [REDACTED]

Address = 10.9.9.1/24, fd00:1234:5678::1/64
ListenPort = [REDACTED]
[AWG REDACTED]

PostUp = iptables -A INPUT -p udp --dport [REDACTED PORT] -m conntrack --ctstate NEW -j ACCEPT --wait 10 --wait-interval 50
PostUp = iptables -A FORWARD -i ens3 -o awg0 -j ACCEPT --wait 10 --wait-interval 50
PostUp = iptables -A FORWARD -i awg0 -j ACCEPT --wait 10 --wait-interval 50
PostUp = iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE --wait 10 --wait-interval 50
PostUp = ip6tables -A INPUT -p udp --dport [REDACTED PORT] -m conntrack --ctstate NEW -j ACCEPT --wait 10 --wait-interval 50
PostUp = ip6tables -A FORWARD -i ens3 -o awg0 -j ACCEPT --wait 10 --wait-interval 50
PostUp = ip6tables -A FORWARD -i awg0 -j ACCEPT --wait 10 --wait-interval 50
PostUp = ip6tables -t nat -A POSTROUTING -o ens3 -j MASQUERADE --wait 10 --wait-interval 50

PostDown = iptables -D INPUT -p udp --dport [REDACTED PORT] -m conntrack --ctstate NEW -j ACCEPT --wait 10 --wait-interval 50
PostDown = iptables -D FORWARD -i ens3 -o awg0 -j ACCEPT --wait 10 --wait-interval 50
PostDown = iptables -D FORWARD -i awg0 -j ACCEPT --wait 10 --wait-interval 50
PostDown = iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE --wait 10 --wait-interval 50
PostDown = ip6tables -D INPUT -p udp --dport [REDACTED PORT] -m conntrack --ctstate NEW -j ACCEPT --wait 10 --wait-interval 50
PostDown = ip6tables -D FORWARD -i ens3 -o awg0 -j ACCEPT --wait 10 --wait-interval 50
PostDown = ip6tables -D FORWARD -i awg0 -j ACCEPT --wait 10 --wait-interval 50
PostDown = ip6tables -t nat -D POSTROUTING -o ens3 -j MASQUERADE --wait 10 --wait-interval 50


[Peer]
PublicKey = [REDACTED]
AllowedIPs = 10.9.9.2/32, fd00:1234:5678::2/128


----

# client

[Interface]
Address = 10.9.9.2/24, fd00:1234:5678::2/128 # <-- пробовал на кинетике указывать /128 и /64, разницы в поведении не заметил
PrivateKey = [REDACTED]
DNS = 8.8.8.8
[AWG REDACTED]

[Peer]
PublicKey = [REDACTED]
AllowedIPs = 0.0.0.0/1, 128.0.0.0/1, ::/1, 8000::/1
Endpoint = [REDACTED]
PersistentKeepalive = 60

 

Изменено 13 июня, 2025 пользователем maksimkurb

[k-marat-s]

Здравствуйте! кто нить в итоге напишет инструкцию чтобы был NAT ipv6 для локальных ipv6  fd5f: или fe80:: с wireguard, где он не является верхним подключением в приоритете? 

если ставить его выше всех то NAT идет вида:
 

Трассировка маршрута к google.ru [2a00:1450:401b:80e::2003]
с максимальным числом прыжков 30:

  1     5 ms    <1 мс    <1 мс  2606:4700:110:83ff:52ff:20ff:fedd:3b8f
  2    44 ms    47 ms    50 ms  2a09:bac5::
  3    47 ms    51 ms     *     2400:cb00:906:1000::1
  4    45 ms    50 ms    51 ms  2400:cb00:73:2::1
....

Прошивка 4.3.3 KN-1012. 

Ответы по типу сделайте его главным не уместны, основное лучше.

Что то по типу маскадинга или прописать NAT как то на fe80:: или fd5f (тоже адреса локальные кинетика?) в локалке.

На основном подключении ipv6 нет

 

[qmxocynjca]

Сейчас если на основной политике нет ipv6 на первой позиции, а в другой политике есть, то без костылей с ручной правкой конфига radvd нет возможности получить ipv6 в этой политике. Выглядит как баг, если честно.

Уважаемые разработчики, а не прикидывали ли запуск radvd в unicast режиме с ACCEPT-ом RS сообщений по мак-адресам устройств, которые по правилам политик должны уметь в ipv6, и DROP-ом от остальных устройств? А то сейчас либо RA либо включен для всех, либо выключен для всех. Вроде в теории должно работать, но какие там подводные камни - сложно предсказать.

Такой сетап позволил фильтровать RS запросы:

insmod ip6table_raw.ko
ip6tables -t raw -I PREROUTING -p ipv6-icmp -m icmp6 --icmpv6-type router-solicitation -m mac --mac-source <mac> -j DROP

interface br0 {
        AdvSendAdvert on;
        UnicastOnly on;
        AdvDefaultLifetime 1800;
        ...
}

Вообще, конечно, просто разрешить использовать первый доступный ipv6 в политике кажется логичным и решило бы проблемы большинства в этом треде. Можно сделать это опциональным флагом через CLI, если это прям не хочется включать по-дефолту.

Изменено 14 июля, 2025 пользователем qmxocynjca

[m1rg]

Здравствуйте!

Не совсем по теме Wireguard, но... От провайдера прилетает только IPv6-адрес, без префикса. NAT66 в этом случае не включается, даже если раздать ULA-префикс в сеть. 

Как в этом случае заставить клиентов в локальной сети ходить через IPv6 адрес, полученный от провайдера?

KN-1010, прошивка 5.0.2

Дополнил:

Судя по выводу show ipv6 address PPPoE0, провайдер выдаёт только /64 на стыке, с помощью SLAAC.  Префикс по DHCPv6-PD не получается, 

Есть ли возможность анонса этого префикса в локальную сеть штатными средствами Keenetic?

 

Изменено 22 декабря, 2025 пользователем m1rg
Дополнительная информация

[plumboom]

В 08.01.2025 в 19:19, reddaddy сказал:

keenos 4.3А12

Подскажите, если ipv6 с /48 роутер получает по туннелю 6in4 от брокера, как раздать ipv6 клиентам подключенным к роутеру по wireguard? Хочу с мобильного ходить по ipv6 через домашнего провайдера.

Возможно такое вообще реализовать в настоящее время?

Подскажите пожалуйста,нашли решение?

Изменено 25 декабря, 2025 пользователем plumboom

[Quqas Wased]

так в этом плане и не захотели поменять

ip4 без игры с политиками норм (надо лишь употеть маршруты ручонками добавлять)

ipv6 с клиентов только если верхний (а если допусти 2+ туннеля и нужен разный маршрут?)

но у меня ещё сложнее в AllowedIPs = 104.19.153.29/32, 104.19.152.29/32, 95.161.64.0/20, 149.154.160.0/20, 185.76.151.0/24, 2001:67c:4e8::/48, 2606:4700::6813:991d/128, 2606:4700::6813:981d/128

в итоге путём изврата: в калькуляторе исключений wg высчитываем стопицот сетей чтоб исключить эти.

потом их скармливаем чатботу чтоб получить стопицот строк 

route add 0.0.0.0 mask 192.0.0.0 0.0.0.0
route add 64.0.0.0 mask 240.0.0.0 0.0.0.0
route add 80.0.0.0 mask 248.0.0.0 0.0.0.0
route add 88.0.0.0 mask 252.0.0.0 0.0.0.0

и т.д.

потом в маршрутах этот bat привязываем к ISP 

и только потом пересовываем вверх туннель в политиках

но и то косяк

если браузеры ещё нормально работают. т.е. ya.ru на ip4 а t.me таки на ipv6

то в командной строке ping ya.ru пытается ipv6 пинговать и получает погубам ессно

ping t.me норм

и это при том что на роутере делал no ipv6 route ::/0 Wireguard0 и пинг с клиентов на t.me оставался даже после  ipconfig /renew

мечтать чтоб маршруты транслировались dhcp не приходится....

в чём сложность что кинетик не может объявить себя шлюзом раз всё равно всё через nat66 не понимаю