Как правильно выдать ipv6?

Question

[unbelieve]

Есть сервер с ipv6.
На сервере стоит wireguard.
При подключении к нему, при проверке ip адреса выдаются ipv4 и ipv6 адреса сервера.

Как сделать так, чтобы ipv6 выдавался не точный адрес сервера, а из диапазона /64?
Хостер выделил /64 диапазон.

Answer 1

[ValdikSS]

Обычно, в случае IPv6, в другую сеть маршрутизируют целую подсеть. Для этого необходимо получить отдельную сеть от хостера, либо же разделить бо́льшую сеть (например, /56) на несколько меньших (например, /64), но эта сеть обязательно должна быть «заведена» на сервер в помощью маршрутизации, а не её назначением на интерфейс.

В вашем случае, полагаю, у вас всего одна /64-подсеть, из которой один из адресов уже назначен серверу. Это означает, что сеть назначена на интерфейс, а не настроена маршрутом на него. В этом случае оборудование хостера ожидает NDP-анонсы от каждого адреса (клиента). Необходимо настроить NDP proxy, либо тот, что встроен в Linux, либо отдельный демон на выбор: ndppd, ndp-proxy, ndproxy, autoneighxy.

Больше по теме:
https://www.geeklab.info/2013/05/ipv6-neighbour-proxy/
https://quantum5.ca/2019/03/08/ndp-proxy-route-ipv...
https://mkaczanowski.com/ndppd-ipv6-ndp-proxy/

А прямой ответ на вопрос «Как правильно выдать ipv6?» — запросить у хостера дополнительную подсеть/подсети нужного размера, смаршрутизированные на сервер, и смаршрутизировать их дальше в VPN штатными средствами, без NDP Proxy.

P.S. в OpenWRT встроен собственный отличный NDP Proxy, работающий из коробки и не требующий дополнительных настроек.

Comments

[unbelieve]

Проблема в том, что сервер время от времени может меняться. И каждый раз делать новые конфигурационные файлы и перекидывать их на нужные устройства - гемор.
Поэтому между устройствами и vps ip адреса вида 10.0.0.2 и тд, ipv6 так же придуманный, абстрактный, локальный, как еще написать?
Эти wireguard ipv6 адреса уже поделены как надо.
Сейчас осталось на каждый локальный приходящий ipv6 адрес выделять ipv6 адрес из внешнего ipv6 адреса сервера, но чтобы он не совпадал с адресом самого сервера, и не совпадал между устройствами.

[ValdikSS]

ipv6 так же придуманный, абстрактный, локальный, как еще написать?

Так можно настроить, но у этих адресов в операционных системах приоритет ниже, чем у IPv4. Если вы настроите внутренние адреса ULA, то в подавляющем большинстве случаев сайты просто будут открываться по IPv4, а не по IPv6. Приоритет придется менять на каждом устройстве (а на мобильных это и вовсе требует root-прав).

И каждый раз делать новые конфигурационные файлы и перекидывать их на нужные устройства - гемор.

Именно поэтому существуют протоколы, у которых настройка клиента встроена в протокол: OpenVPN, IPsec. Пользуйтесь ими. Wireguard в оригинальном виде не предназначен для динамических сетей.