wireguard ipv6

[zubzer0]

Прошивка 5.0. Имеется туннель wireguard на ipv4 сервер, от которого идёт получение ipv6 /48
ipv6 пинги и curl в консоли роутера работают. Вопрос, как сделать раздачу ipv6 в домашнюю сеть по DHCP ? 
В сегменте домашней сети инициируются только fe80:: 
Галочка включить IPv6 и чередование туннеля в Приоритеты подключений. результатов не даёт. 
 

Изменено 4 часа назад пользователем zubzer0

[mrGhotius]

5 минут назад, zubzer0 сказал:

Прошивка 5.0. Имеется туннель wireguard на ipv4 сервер, от которого идёт получение ipv6 /48
ipv6 пинги и curl в консоли роутера работают. Вопрос, как сделать раздачу ipv6 в домашнюю сеть по DHCP ? 
В сегменте домашней сети инициируются только fe80:: 

 

[mrGhotius]

19 минут назад, zubzer0 сказал:

Галочка включить IPv6 и чередование туннеля в Приоритеты подключений. результатов не даёт.

Префикс прилетает?

show ipv6 prefixes 

[zubzer0]

53 минуты назад, mrGhotius сказал:

Префикс прилетает?

show ipv6 prefixes 

только	"prompt": "(config)"

show ipv6 addresses
fe80:: на всех кроме Wireguard0 

curl http://[2a01:4f8:172:3202::acab:f001]/json 
(http://myip.wtf/json) работает, и пишет мой ipv6 от wireguard, без указаний интерфейса. 
т.е. роутер умеет и пользуется ipv6, но не для сегмента домашней сети.

Изменено 3 часа назад пользователем zubzer0

[mrGhotius]

18 минут назад, zubzer0 сказал:

т.е. роутер умеет и пользуется ipv6

Верно, для этого достаточно адреса на интерфейсе, но чтобы раздавать в домашнюю сеть нужен префикс /64 и меньше. 

Попробуйте выполнить на интерфейсе WG команду

ipv6 prefix auto

 

Изменено 3 часа назад пользователем mrGhotius

[zubzer0]

сделал /64 на wireguard . сделал 64-0 под DHCP галкой ipv6 в домашней сети.  роутер сделал два маршрута .
ситуация та-же. 
 

[avn]

5 минут назад, zubzer0 сказал:

сделал /64 на wireguard . сделал 64-0 под DHCP галкой ipv6 в домашней сети.  роутер сделал два маршрута .
ситуация та-же. 
 

На wg префикс есть? Если есть, получили ли клиенты ipv6 адрес?

[mrGhotius]

3 минуты назад, zubzer0 сказал:

сделал /64 на wireguard . сделал 64-0 под DHCP галкой ipv6 в домашней сети.  роутер сделал два маршрута .
ситуация та-же. 

Результат вывода команды show ipv6 prefixes должен быть такой (с указанием вашего интерфейса разумеется):

Спойлер

Вы уверены, что удаленная сторона делегирует вам префикс+адрес, а не только адрес?

[avn]

А почему у вас интерфейс 6in4? А не wg,?

[zubzer0]

28 минут назад, mrGhotius сказал:

ipv6 prefix auto

сделал ситуация та-же. 

interface Wireguard0
ipv6 prefix auto
system configuration save


show ipv6 prefixes 

14 минут назад, avn сказал:

А почему у вас интерфейс 6in4? А не wg,?

это название wg туннеля так. от 6in4.ru

Изменено 3 часа назад пользователем zubzer0

[mrGhotius]

10 минут назад, zubzer0 сказал:

6in4.ru

А зачем вы настраиваете WG, если надо настраивать 6in4?

Спойлер

 

Изменено 3 часа назад пользователем mrGhotius

[zubzer0]

4 минуты назад, mrGhotius сказал:

А зачем вы настраиваете WG, если надо настраивать 6in4?

что значит надо? сервис предоставляет услугу 6in4 и/или wg. название туннеля от поставщика. 

Изменено 2 часа назад пользователем zubzer0

[mrGhotius]

2 минуты назад, zubzer0 сказал:

что значит надо? сервис предоставляет услугу 6in4 и/или wg. название туннеля от поставщика. 

Так даже на сервисе ссылаются на инструкцию по настройке 6in4.

https://help.keenetic.com/hc/ru/articles/360009258340-Пример-подключения-к-туннельному-брокеру-IPv6-компании-Hurricane-Electric

[zubzer0]

не надо флуда. есть wg туннель. тунель рабочий (curl апрувед). название wg тунеля 6in4.
проблема в том, что роутер не инициирует раздачу хоть то /48 хоть то /64

Изменено 2 часа назад пользователем zubzer0

[mrGhotius]

1 минуту назад, zubzer0 сказал:

проблема в том, что роутер не инициирует раздачу хоть то /48 хоть то /64

Чтобы раздавать нужен префикс, а вас его нет. Хорошо флеймить больше не буду, удачи.

[avn]

Префикс на wg интерфейсе задайте руками. И интерфейс wg нужно сделать главным интерфейсом, выше интерфейса wan.

[zubzer0]

17 минут назад, avn сказал:

Префикс на wg интерфейсе задайте руками. И интерфейс wg нужно сделать главным интерфейсом, выше интерфейса wan.

да. префикс изначально вбит в конфиг wg руками. пробовал и 48 и 64
смена приоритетов wg на 1 место обрубает ipv4 инет. и при этом всеравно нет раздачи ipv6 в домашний сегмент
сейчас wg находится под основным - так есть ipv4 и ipv6 в самом роутере

show ipv6 addresses

Спойлер

{
    "addresses": {
        "address": [
            {
                "address": "fe80::52ff:***",
                "prefix-length": 64,
                "proto": "KERNEL",
                "valid-lifetime": "infinite",
                "interface": "GigabitEthernet1"
            },
            {
                "address": "fe80::52ff:***",
                "prefix-length": 64,
                "proto": "KERNEL",
                "valid-lifetime": "infinite",
                "interface": "WifiMaster0/AccessPoint0"
            },
            {
                "address": "fe80::50ff:***",
                "prefix-length": 64,
                "proto": "KERNEL",
                "valid-lifetime": "infinite",
                "interface": "WifiMaster1/AccessPoint0"
            },
            {
                "address": "fe80::52ff:***",
                "prefix-length": 64,
                "proto": "KERNEL",
                "valid-lifetime": "infinite",
                "interface": "GigabitEthernet0/Vlan1"
            },
            {
                "address": "fe80::52ff:***",
                "prefix-length": 64,
                "proto": "KERNEL",
                "valid-lifetime": "infinite",
                "interface": "Bridge0"
            },
            {
                "address": "fe80::fec5:***",
                "prefix-length": 64,
                "proto": "KERNEL",
                "valid-lifetime": "infinite",
                "interface": "OpkgTun0"
            },
            {
                "address": "2a0e:****:****::",
                "prefix-length": 64,
                "proto": "STATIC",
                "valid-lifetime": "infinite",
                "interface": "Wireguard0"
            }
        ],
        "uptime": 2157
    },
    "prompt": "(config)"
}

show ipv6 prefixes 
"prompt": "(config)"

пример конфига wg используемого для получения ipv6
 

Спойлер

[Interface]
PrivateKey = ***
Address = 2a0e:****:****::/48
MTU = 1400

[Peer]
PublicKey = ****
PresharedKey = ****
AllowedIPs = 2000::/3
Endpoint = 95.213.***.***:12345
PersistentKeepalive = 25

 

Изменено 2 часа назад пользователем zubzer0

[avn]

У нас пока задача попробовать префикс раздать. WG сделать основным подключением. Посмотреть, что есть префиксы. Переполучить ip на локальном пк.

[zubzer0]

сделал 
interface Wireguard0
ipv6 prefix 2a0e:****:****::/64
ipv6 address 2a0e:****:****::1/64
system configuration save

show ipv6 prefixes 
появилась запись. 

ipv6 по DHCP не прилетает. 

Изменено 1 час назад пользователем zubzer0

[avn]

Так главным его сделали?

[zubzer0]

6 минут назад, avn сказал:

Так главным его сделали?

тогда прилетает. но перестает работать ipv4 на клиентах 😄

[avn]

6 минут назад, zubzer0 сказал:

тогда прилетает. но перестает работать ipv4 на клиентах 😄

Спасибо. Что и требовалось доказать. В текущей реализации работать не будет. А ipv6 с клиентов работает?

[zubzer0]

1. прилетает и только в политики по умолчанию. 
если создать новую политику и закинуть туда клиента, где WG будет выше основного - ничего не прилетает, даже если в ней будет только WG вкл.

2. увы, по прилетающему ipv6 (в политики по умолчанию) - пинги до 2606:4700:4700::1111 не проходят.
вообще ничего и никуда не проходит. не 4 не 6, кроме 192.168.

3. еще такой момент, тот wg-конфиг выше, кинетик не совсем полностью хочет воспринимать.
пришлось дописывать 172.16.0.3/32 в поле ipv4 адреса - что дефолтному wg клиенту не требуется. 

Изменено 1 час назад пользователем zubzer0

[zubzer0]

16 минут назад, avn сказал:

В текущей реализации работать не будет

нуепрст, сказали-бы сразу ...

Изменено 1 час назад пользователем zubzer0

[avn]

Можно еще проверить вот что. Интерфейс главный, префикс раздали. Так же 

        allow-ips 2000:: 3

На клиенте посмотреть ipv6 адрес. на VPS:

ip -6 neigh add proxy <<ipv6 адрес клиента>> dev <<интерфейс wan ens3>>.

Так же ip6tables -I FORWARD -i wg+ -j ACCEPT

net.ipv6.conf.all.forwarding=1
net.ipv6.conf.all.proxy_ndp=1

 

Если проверить ключевые моменты, завести можно. Но штатно из коробки работать не будет. Тут еще проблема возможно в VPS будет (из-за ndp). В общем префикс лучше от провайдера получать.

Изменено 54 минуты назад пользователем avn

[zubzer0]

ну уже может быть попробую, но позже.

как думаете, если взять opkg awg клиент на OpkgTun0, с ним будут теже танцы ip6tables?

по поводу ip6tables и т.п.: уж больно не люблю много костыльных настроек в консольке, потом спустя месяцы когда что-то гдето надо подправить, уже и не помнишь, что и делал

Изменено 34 минуты назад пользователем zubzer0

[avn]

1 минуту назад, zubzer0 сказал:

ну уже может быть попробую, но позже.

как думаете, если взять opkg awg клиент на OpkgTun0, с ним будут теже танцы ip6tables ?

Конечно, там нужна настроенная инфраструктура ipv6.