Поддержка подключения по IPv6 к серверу Wireguard

[Vladislav Kravchenko]

Планируется ли обновление компонентов OpneVPN и WireGuard для поддержки IPv6?

[Le ecureuil]

Сперва IPv6 в целом нужно в системе сделать "out of the box". А так да, планируется.

[Cengiz S]

When will IPv6 arrive for WireGuard? 

[Le ecureuil]

1 час назад, Cengiz S сказал:

When will IPv6 arrive for WireGuard? 

Still under design.

[None 7]

Ладно полноценная поддержка. Была бы хотя бы возможность прописать ipv6-адреса в список разрешённых для Wireguard. Даже в telnet там сейчас

Quote

(config)> interface Wireguard0 wireguard peer Oo85...2D0= allow-ips

 Usage template:
        allow-ips {address} {mask}

Хотя мне всё же удалось подружить ужа с ежом обернув IPv6 трафик 6in4 и пропустив через Wireguard. Но это костыль. И не имея нормального tcpdump не на одной из сторон, было действительно непросто всё это подружить.

[vlad]

15 часов назад, None 7 сказал:

Хотя мне всё же удалось подружить ужа с ежом обернув IPv6 трафик 6in4 и пропустив через Wireguard.

Как вам это удалось? Подскажите пожалуйста!;) Имею настроенный 6in4 и Wireguard,тоже хотелось бы получать IPv6 по wireguard .

Изменено 16 апреля, 2021 пользователем vlad

[None 7]

1 minute ago, vlad said:

Как вам это удалось? Подскажите пожалуйста!;)

Quote

interface Wireguard0
    description Wireguard0
    security-level private
    ip address 10.0.1.2 255.255.255.0
    ip mtu 1324
    ip global 16383
    ip tcp adjust-mss pmtu
    wireguard listen-port 6894
    wireguard peer Oo85C7lO7wU+3xt7XKop5W5zr82+oT10275xl03e2D0=
        endpoint xxx.xxx.xxx.xxx:41194
        keepalive-interval 30
        allow-ips 0.0.0.0 0.0.0.0
    !
    up
!

interface TunnelSixInFour0
    description 6in4OracleTunnel
    ip mtu 1304
    ip remote 10.0.1.1
    ipv6 address 2001:db8:dead:beaf::5
    ipv6 prefix 2001:db8:1111:1111::/64
    ipv6 force-default
    up
!

Безопасности никакой и сервер может пинговать роутер по IPv4 и не только. Возможно security-level private не обязателен, но тогда инструментов диагностики не останется.

На сервер все стандартные правила брандмауэра отломаны и для v4 и для v6 ибо мешало. Конфиг сервера, что то вроде:

Quote

ip tunnel add v6he mode sit remote 216.66.84.46 local any # интерфейс брокера
ip tunnel add v6home mode sit remote 10.0.1.2 local 10.0.1.1 # интерфейс, который будет ходить через wireguard
ip link set v6home up
ip link set v6he up
ip link set sit0 up

ip route add 2002::/16 dev sit0 metric 256 #6to4
ip addr add 2001:db8:dead:beaf::2/126 dev v6he
ip route add ::/0 dev v6he metric 1024

ip link add dev wg0 type wireguard
ip addr add dev wg0 10.0.1.1/24
ip addr add 2001:db8:dead:beaf::4/127 dev wg0

wg set wg0 listen-port 41194 private-key /etc/wireguard/privatekey peer Ow/7tehRvScbeSm6duT0MdSgUOp2vzmo2LH+KqCRfx4= allowed-ips 10.0.1.0/24
ip link set up dev wg0

ip addr add 2001:db8:dead:beaf::4/127 dev v6home # такую наглость как использование сети, которая на меня не делегирована можно позволить себе только с брокерами
#на нормальном подключении нужно будет думать, что делать с link-local адресами в traceroute6
ip route add 2001:db8:1111:1111::/64 dev v6home via ::10.0.1.2 metric 256 # /48 я не запрашивал

sysctl -w net.ipv6.conf.all.forwarding=1

Но я не гарантирую, что конфиг полностью рабочий, мне пришлось долго воевать с ним постоянно подправляя.

[None 7]

3 hours ago, None 7 said:

ip addr add 2001:db8:dead:beaf::4/127 dev wg0

Накосячил всё таки. Это строчка явно лишняя; осталась со времён экспериментов.

[Prot]

UP.

Тоже жду поддержку V6 в модулях VPN.

С удивлением обнаружил, что не могу роутить v6 через WireGuard, приплыли.
Так же хотелось бы и NetFlow что бы умел собирать с ipv6.

[Frowz]

UP!

Очень необходимо

[avn]

1 час назад, Frowz сказал:

UP!

Очень необходимо

А что не работает? Все бегает по ipv6 и wireguard. Нативно еще ждём. Думаю и по openvpn проблем не будет.

[Frowz]

В 20.07.2022 в 21:35, avn сказал:

А что не работает? Все бегает по ipv6 и wireguard. Нативно еще ждём. Думаю и по openvpn проблем не будет.

Там бегает только ipv4.

И вот ответ техподдержки:

 

Скрытый текст

 

Изменено 6 августа, 2022 пользователем Frowz

[avn]

12 часа назад, Frowz сказал:

Там бегает только ipv4.

И вот ответ техподдержки:

 

  Скрыть содержимое

 

У меня ipv6 бегает по wireguard без проблем по Warp и своему впс. А Вас видно в поиске забанили. Штатно еще не бегает, но может. Технически уже все есть, только нету возможности штатно это настроить. 

Изменено 7 августа, 2022 пользователем avn

[Rage Steel]

Что-нибудь поменялось в более свежих прошивках, чтобы можно было настроить проброс IPv6 через WireGuard в интерфейсе? 

[Ground_Zerro]

UP

В родных и красивых менюшках ковыряться приятней чем в консоли или специфичном CLI (когда USB у кинетика нема).

[avn]

В 23.08.2024 в 11:53, Rage Steel сказал:

Что-нибудь поменялось в более свежих прошивках, чтобы можно было настроить проброс IPv6 через WireGuard в интерфейсе? 

Через web-интерфейс пока нельзя, через cli настраивается и работает без проблем. Полная поддержка iov6 уже есть из коробки.

Изменено 24 августа пользователем avn

[Lemoyne]

Добрый день, очень не хватает возможности подключения к серверу Wireguard по IPv6. В настоящий момент белые IPv4 в дефиците и предоставляются за отдельную и весьма немалую стоимость. В то же время технология IPv6 получает большее распространение и предоставляется бесплатно. В настоящий момент единственный вариант организовать доступ к домашней сети с серым адресом - использовать сервис KeenDNS и серверы OpenConnect и SSTP, но скорость в таком случае зависит от нагрузки на сам сервис.

[XCa13]

  

В 24.08.2024 в 18:06, avn сказал:

Через web-интерфейс пока нельзя, через cli настраивается и работает без проблем. Полная поддержка iov6 уже есть из коробки.

Добрый день. А как через CLI настроить? Где можно почитать про это? У меня не получается ничего, например, при попытке проставить endpoint ipv6addr:port  ругается (понятно что ipv6addr:port я проставлял реальные):

{
	"prompt": "(config-wg-peer)",
	"status": [
		{
			"status": "error",
			"code": "7405602",
			"ident": "Command::Base",
			"source": "address",
			"message": "argument parse error."
		}
	]
}

Update 18.11:

Не умеет Wireguard в IPv6, и судя по всему и никогда не умел.

Хотя в релиз ноутах к Keenetic OS 4.0 есть вот это:

Цитата

Для пользователей Wireguard VPN мы реализовали базовую поддержку IPv6, которая пока настраивается через интерфейс командной строки (CLI). SNMP-сервер и WebDAV-сервер также теперь работают с IPv6.

Взято отсюда: https://support.keenetic.ru/eaeu/ultra/kn-1811/ru/31881-keeneticos-4-0.html

Update 27.11: Справедливости ради, в 4.2.3 добавили возможность добавлять ipv6 везде кроме endpoint))) Если endpoint задать по имени, то AAAA запись судя по всему игнорится. Тут все понятно, если резолвить хост у которого и ipv4 и ipv6, то не понятно по какому ходить (хотя можно задать приоритет, например ipv4. а еще лучше сделать галку в UI вида предпочитать ip6 или ipv4). Но в чем проблема добавить поддержку ipv6 endpoint в UI, когда задается сам айпишник, а не хост, я не понимаю...

Так или иначе, более тщательный поиск по форуму помог, нашел нужное. Спасибо @avn. Поставил wg-tools. Добавил такой скрипт в /opt/etc/ndm/ifstatechanged.d/

Цитата

#!/bin/sh

[ "$1" == "hook" ] || exit 0
[ "$id" == "Wireguard0" ] || exit 0
[ "$change" == "config" ] || exit 0
[ "$connected" == "no" ] || exit 0
[ "$link" == "down" ] || exit 0
[ "$up" == "up" ] || exit 0

wg setconf nwg0 /opt/etc/wireguard/nwg0.conf

if ! ip6tables -C POSTROUTING -t nat -o nwg0 -j MASQUERADE &>/dev/null; then
   ip6tables -A POSTROUTING -t nat -o nwg0 -j MASQUERADE
fi

exit 0

Где nwg0 - нужный интерфес wireguard, Wireguard0 - он же в CLI. Note: в 4.2.3 (или даже раньше) change == link, connected == yes, link == up, up == up почему-то не приходит, приходится ловить то, что прописано в скрипте.

Сам nwg0.conf должен выглядить типа такого:

Цитата

[Interface]
PrivateKey = <>

[Peer]
PublicKey = <>
PresharedKey = <>
AllowedIPs = 1.0.0.0/8, 2.0.0.0/7, 4.0.0.0/6, 8.0.0.0/7, 11.0.0.0/8, 12.0.0.0/6, 16.0.0.0/4, 32.0.0.0/3, 64.0.0.0/3, 96.0.0.0/4, 112.0.0.0/5, 120.0.0.0/6, 124.0.0.0/7, 126.0.0.0/8, 128.0.0.0/3, 160.0.0.0/5, 168.0.0.0/8, 169.0.0.0/9, 169.128.0.0/10, 169.192.0.0/11, 169.224.0.0/12, 169.240.0.0/13, 169.248.0.0/14, 169.252.0.0/15, 169.255.0.0/16, 170.0.0.0/7, 172.0.0.0/12, 172.32.0.0/11, 172.64.0.0/10, 172.128.0.0/9, 173.0.0.0/8, 174.0.0.0/7, 176.0.0.0/4, 192.0.0.0/9, 192.128.0.0/11, 192.160.0.0/13, 192.169.0.0/16, 192.170.0.0/15, 192.172.0.0/14, 192.176.0.0/12, 192.192.0.0/10, 193.0.0.0/8, 194.0.0.0/7, 196.0.0.0/6, 200.0.0.0/5, 208.0.0.0/4, 224.0.0.0/4, 2000::/3
Endpoint = [IPv6]:port
PersistentKeepalive = 3600

Но это все равно костыль. Жду нормальной поддержки IPv6 Wireguard из коробки.

Надеюсь кому-нибудь поможет.

Изменено 28 ноября пользователем XCa13
Update