Как мне настроить Debian 11, чтобы работали глобальные IPv6 адреса через туннель WireGuard?

Question

[Herest]

Приветствую!
У меня есть виртуальный сервер на Debian 11, для которого хостинг провайдер выделил подсеть 2a10:b511:80:14::/64

root@vps:~# cat /etc/network/interfaces

auto ens3
iface ens3 inet static
    address   86.37.115.25
    netmask   255.255.255.0
    gateway   86.37.115.1
    hwaddress ether 52:40:00:ff:b2:40

iface ens3 inet6 static
    address   2a10:b511:80:14::1
    netmask   64
    gateway   2a10:b511:80::1

Я хочу сделать так, чтобы клиенты, подключенные к моему серверу через VPN WireGuard, могли использовать для выхода в Интернет глобальные IPv6 адреса из этой подсети. В конфигурационных файлах Wireguard я вручную прописал каждому пиру свой собственный IPv6 адрес.

root@vps:~# cat /etc/wireguard/vpn.conf

[Interface]
PrivateKey = <private key>
Address = 10.0.0.1/32, 2a10:b511:80:14::10/128
ListenPort = 885

[Peer]
PublicKey = <public key>
PresharedKey = <preshared key>
AllowedIPs = 10.0.0.2/32, 2a10:b511:80:14::20/128

[Peer]
PublicKey = <public key>
PresharedKey = <preshared key>
AllowedIPs = 10.0.0.3/32, 2a10:b511:80:14::30/128

С текущими настройками сервера ни один клиент не может выйти в интернет. Если включить NAT6, то доступ появится, но мне нужно, чтобы каждый пир выходил в сеть под своим собственным IPv6 адресом. Может кто-нибудь знает, как мне настроить сервер, чтобы IPv6 пакеты из виртуального интерфейса WireGuard маршрутизировались на шлюз физического интерфейса? Подскажите, пожалуйста, я буду очень признателен)

Дополнительная информация по моему серверу

root@vps:~# sysctl -p

net.ipv4.ip_forward = 1
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.ens3.accept_ra = 2

root@vps:~# ip a

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
    link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
    inet 127.0.0.1/8 scope host lo
       valid_lft forever preferred_lft forever
    inet6 ::1/128 scope host
       valid_lft forever preferred_lft forever
2: ens3: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc pfifo_fast state UP group default qlen 1000
    link/ether 52:40:00:ff:b2:40 brd ff:ff:ff:ff:ff:ff
    altname enp0s3
    inet 86.37.115.25/24 brd 86.37.115.255 scope global ens3
       valid_lft forever preferred_lft forever
    inet6 2a10:b511:80:14::1/64 scope global
       valid_lft forever preferred_lft forever
    inet6 fe80::5040:ff:feef:b240/64 scope link
       valid_lft forever preferred_lft forever
11: vpn: <POINTOPOINT,NOARP,UP,LOWER_UP> mtu 1420 qdisc noqueue state UNKNOWN group default qlen 1000
    link/none
    inet 10.0.0.1/32 scope global vpn
       valid_lft forever preferred_lft forever
    inet6 2a10:b511:80:14::10/128 scope global
       valid_lft forever preferred_lft forever

root@vps:~# ip -6 route

::1 dev lo proto kernel metric 256 pref medium
2a10:b511:80:14::10 dev vpn proto kernel metric 256 pref medium
2a10:b511:80:14::20 dev vpn metric 1024 pref medium
2a10:b511:80:14::30 dev vpn metric 1024 pref medium
2a10:b511:80:14::/64 dev ens3 proto kernel metric 256 pref medium
fe80::/64 dev ens3 proto kernel metric 256 pref medium
default via 2a10:b511:80::1 dev ens3 metric 1024 onlink pref medium

Comments

[AlexVWill]

Не ответ на вопрос, а просто интересно, а с какой целью надо именно IPv6 использовать?

[pfg21]

AlexVWill, раздать прямой ipv6 страждущим.

[Herest]

AlexVWill, на то есть две причины (собственно для этого IPv6 и создавался). Первая причина - это чтобы у каждого устройства был свой собственный глобальный адрес в сети интернет. Вторая причина напрямую вытекает из первой - чтобы интернет работал быстрее. Можно конечно и дальше использовать серые IPv4, сидя за тремя-четырьмя провайдерскими NAT, но всё это костыли из 90-х, которые усложняют, ограничивают и замедляют работу сети. Чтобы не быть голословным, вот ping отчёт с моего сервера для сравнения:

root@vps:~# ping -4 google.com
PING  (142.250.186.206) 56(84) bytes of data.
64 bytes from waw07s05-in-f14.1e100.net (142.250.186.206): icmp_seq=1 ttl=120 time=44.4 ms
64 bytes from waw07s05-in-f14.1e100.net (142.250.186.206): icmp_seq=2 ttl=120 time=44.4 ms
64 bytes from waw07s05-in-f14.1e100.net (142.250.186.206): icmp_seq=3 ttl=120 time=44.3 ms
64 bytes from waw07s05-in-f14.1e100.net (142.250.186.206): icmp_seq=4 ttl=120 time=44.5 ms
64 bytes from waw07s05-in-f14.1e100.net (142.250.186.206): icmp_seq=5 ttl=120 time=44.9 ms
^C
---  ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4006ms
rtt min/avg/max/mdev = 44.346/44.483/44.863/0.193 ms

root@vps:~# ping -6 google.com
PING google.com(waw07s05-in-x0e.1e100.net (2a00:1450:401b:80d::200e)) 56 data bytes
64 bytes from waw07s05-in-x0e.1e100.net (2a00:1450:401b:80d::200e): icmp_seq=1 ttl=120 time=5.77 ms
64 bytes from waw07s05-in-x0e.1e100.net (2a00:1450:401b:80d::200e): icmp_seq=2 ttl=120 time=5.86 ms
64 bytes from waw07s05-in-x0e.1e100.net (2a00:1450:401b:80d::200e): icmp_seq=3 ttl=120 time=5.72 ms
64 bytes from waw07s05-in-x0e.1e100.net (2a00:1450:401b:80d::200e): icmp_seq=4 ttl=120 time=5.74 ms
64 bytes from waw07s05-in-x0e.1e100.net (2a00:1450:401b:80d::200e): icmp_seq=5 ttl=120 time=5.75 ms
^C
--- google.com ping statistics ---
5 packets transmitted, 5 received, 0% packet loss, time 4007ms
rtt min/avg/max/mdev = 5.723/5.769/5.861/0.048 ms

[AlexVWill]

Herest, а, понятно... в общем то разумно, только мой опыт по налаживанию IPv6 с VPN показал обратную картину, точнее со скоростью было все в порядке (для тех серверов, которые поддерживают маршрутизацию с IPv6), но начались проблемы с DNS, точнее с AdGuardHome, который поднят внутри VPN сети для обрезания всяческой рекламы. Бился я, бился, так и не победил, плюнул, пока руки не доходят доделать как надо...

[Herest]

AlexVWill, а я просто использовал их публичные DNS серверы, настроив DNS-over-TLS для VPN с помощью службы systemd-resolved.

[AlexVWill]

Herest, публичные не совсем подходят, т.к. надо кое что заблокировать, кое что разблокировать и кое что настроить...