OpenVPN 上的 IPv6 路由问题

Question 1

因此，我发现上游路由器不会无条件地将我分配的整个子网的数据包转发到我的服务器。为了让它知道转发数据包，你必须通过 NDP 协议明确地告诉它。这必须在客户端连接并分配 IPv6 地址时完成。长话短说，下面是我修复它的方法。将其添加到服务器上的 OpenVPN 配置中：

script-security 3
client-connect /etc/openvpn/client-connect.sh

创建一个名为 /etc/openvpn/client-connect.sh 的脚本，内容如下：

#!/bin/sh
ip -6 neigh add proxy $ifconfig_pool_remote_ip6 dev eth0

重启 OpenVPN。连接到服务器并享受属于您自己的互联网未来。

Answer

因此，我发现上游路由器不会无条件地将我分配的整个子网的数据包转发到我的服务器。为了让它知道转发数据包，你必须通过 NDP 协议明确地告诉它。这必须在客户端连接并分配 IPv6 地址时完成。长话短说，下面是我修复它的方法。将其添加到服务器上的 OpenVPN 配置中：

script-security 3
client-connect /etc/openvpn/client-connect.sh

创建一个名为 /etc/openvpn/client-connect.sh 的脚本，内容如下：

#!/bin/sh
ip -6 neigh add proxy $ifconfig_pool_remote_ip6 dev eth0

重启 OpenVPN。连接到服务器并享受属于您自己的互联网未来。

Question 2

我也一直在努力解决同样的问题，巧合的是，Debian Wheezy 也是如此。

您现在可能错过了两个选项（在 VPN 服务器上）：

无ip6tables转发规则
没有默认 IPv6 路由

1.`ip6tables`

与 IPv4 一样，您需要明确的防火墙转发规则，这对我来说很有用：

# ip6tables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
# ip6tables -A FORWARD -i tun0 -o eth0 -j ACCEPT

（相应地调整接口，您可能需要添加-s VPN-IPv6-RANGE/SUBNET第二条规则以实现更明确的转发）。

2. 默认路由

forwarding = 1这是我这边的问题；大约两天后，有人让我重新考虑我的设置，我发现我错过了sysctl的一个重要副作用。

当您设置时net.ipv6.conf.all.forwarding = 1，路由器通告中的地址自动配置将被忽略。换句话说，当您的default路由是通过自动配置设置的时，此路由会很快被丢弃，并且您会失去与服务器的 IPv6 连接。当您的默认路由现在类似于时default via fe80::...，可能就是这种情况。

解决方案是通过添加明确的默认路由/etc/network/interfaces，例如：

iface eth0 inet6 static
    address 2001:db8::2
    netmask 64
    gateway 2001:db8::1

您可以通过查看服务器上的 IPv6 路由表来检查 VPN 设置是否（暂时）有效：ip -6 route show default当路由表为空时，使用添加默认路由ip -6 route add default via 2001:db8::1（相应地调整到您的本地范围）。然后检查 VPN 客户端是否可以 ping 某个外部 IPv6 地址。

OpenVPN 配置

我这边的一个小的配置差异是：

push "route-ipv6 2000::/3"（2000::取决于3fff:ffff...）

代替

push "route-ipv6 0::/0"

但目前这些路线是等效的。

Answer

我也一直在努力解决同样的问题，巧合的是，Debian Wheezy 也是如此。

您现在可能错过了两个选项（在 VPN 服务器上）：

无ip6tables转发规则
没有默认 IPv6 路由

1.`ip6tables`

与 IPv4 一样，您需要明确的防火墙转发规则，这对我来说很有用：

# ip6tables -A FORWARD -i eth0 -o tun0 -m state --state RELATED,ESTABLISHED -j ACCEPT
# ip6tables -A FORWARD -i tun0 -o eth0 -j ACCEPT

（相应地调整接口，您可能需要添加-s VPN-IPv6-RANGE/SUBNET第二条规则以实现更明确的转发）。

2. 默认路由

forwarding = 1这是我这边的问题；大约两天后，有人让我重新考虑我的设置，我发现我错过了sysctl的一个重要副作用。

当您设置时net.ipv6.conf.all.forwarding = 1，路由器通告中的地址自动配置将被忽略。换句话说，当您的default路由是通过自动配置设置的时，此路由会很快被丢弃，并且您会失去与服务器的 IPv6 连接。当您的默认路由现在类似于时default via fe80::...，可能就是这种情况。

解决方案是通过添加明确的默认路由/etc/network/interfaces，例如：

iface eth0 inet6 static
    address 2001:db8::2
    netmask 64
    gateway 2001:db8::1

您可以通过查看服务器上的 IPv6 路由表来检查 VPN 设置是否（暂时）有效：ip -6 route show default当路由表为空时，使用添加默认路由ip -6 route add default via 2001:db8::1（相应地调整到您的本地范围）。然后检查 VPN 客户端是否可以 ping 某个外部 IPv6 地址。

OpenVPN 配置

我这边的一个小的配置差异是：

push "route-ipv6 2000::/3"（2000::取决于3fff:ffff...）

代替

push "route-ipv6 0::/0"

但目前这些路线是等效的。

OpenVPN 上的 IPv6 路由问题

答案1

答案2

1.`ip6tables`

2. 默认路由

OpenVPN 配置

相关内容

答案1

答案2

1.ip6tables

2. 默认路由

OpenVPN 配置

相关内容

1.`ip6tables`