Încerc să fac upgrade la un server openvpn și am o problemă cu configurația IPv6. Nu îmi pot da seama cum să configurez o interfață de atingere fără o adresă IPv6 și totuși pot să atribui adrese IPv6 clienților conectați.
Din motive legate de structura sau rețeaua noastră, VPN-ul are să fie în modul bridge (apăsați interfața) și toată rutarea de la / către clienții VPN se face pe un dispozitiv router separat (serverul openvpn este o cutie Linux dedicată pe care o folosesc doar pentru a descărca procesarea VPN de pe acel router, nu face rutare / redirecționare de la sine).
În configurația mea actuală, interfețele virtuale tap nu au adrese IPv4 sau IPv6, sunt conectate cu interfețe fizice sau VLAN și singurele adrese pe care le văd clienții sunt cele ale routerului. Caseta openvpn doar distribuie adrese IPv4/IPv6 clienților atunci când se conectează.
Extras din configurația actuală a serverului meu (doar părți relevante):
dev tap-vpn
[...]
server-bridge 192.0.2.1 255.255.255.128 192.0.2.11 192.0.2.40
tun-ipv6
ifconfig-ipv6 2001:db8:1234:5678::1/64 2001:db8:1234:5678::1
ifconfig-ipv6-pool 2001:db8:1234:5678::11/64
[...]
apăsați „tun-ipv6”
apăsați „route 192.x.y.z”
apăsați „route-ipv6 2001:db8:1234:4321::/64”
Acest lucru funcționează exact așa cum era de așteptat în OpenVPN 2.3: caseta nu are nicio adresă atașată la interfața tap-vpn și distribuie adrese IPv4 192.0.2.11 - 192.0.2.40 și IPv6 începând cu 2001:db8:1234:5678::11 și acesta împinge rute după cum era de așteptat către clienți, cu gateway-uri 192.0.2.1 și 2001:db8:1234:5678::1.
Din motive de securitate, dezactivez IPv6 la nivel de kernel pe acea interfață:
echo 1 >/proc/sys/net/ipv6/conf/tap-vpn/disable_ipv6
Actualizarea la o versiune mai recentă rupe această configurație, în sensul că ifconfig-ipv6 acum vrea pentru a atribui o adresă IPv6 interfeței și dezactivarea IPv6 la nivel de kernel împiedică pur și simplu pornirea openvpn. Îndepărtarea ifconfig-ipv6 directivă nu este, de asemenea, posibilă, ca ifconfig-ipv6-pool are nevoie.
Știu că tun-ipv6 este acum depreciat, dar eliminarea/adăugarea lui nu pare să schimbe nimic. Am citit diverse documentații, inclusiv, desigur, pagina de manual, și am revizuit acest, acest și acest fir, dar niciuna dintre acestea nu pare să răspundă îngrijorării mele.
Dacă este într-adevăr imposibil să realizez configurarea pe care o intenționez, atunci voi găsi alte modalități de a securiza mașina VPN, cum ar fi un firewall local, dar mi-ar fi găsit mai elegant să nu am nicio adresă IPv6 la atingere (ca și cum nu am IPv4) și folosiți-l doar ca componentă de legătură.
FWIW, folosesc slackware64 15.0 pe un mini-PC PCEngines APU, dar problema probabil nu este la nivelul sistemului de operare.
Orice ajutor sau indiciu către un exemplu de lucru ar fi foarte apreciat.
