@Rorus
Оптимист

Нативный IPv6 у каждого клиента через Openvpn как сделать?

Суть вопроса: есть VPS с поддержкой нативного IPv6. Есть клиенты в России и Украине, у которых, естественно, нет IP6.
Хостер выдал подсеть ipv6 с префиксом /64. Условно назовем ее 1234:5678:90ab:cdef::/64
Задача: раздать нативные ip6 адреса клиентам.

Один адрес из подсети 1234:5678:90ab:cdef::2 я привязал к внешнему интерфейсу на сервере. На сервере, таким образом, ip6 есть, сайты с обоими протоколами нормально пингуются. Установил сервер Openvpn c tun. С IPv4 все нормально работает. В конфиг-файл сервера внес дополнительные строки:
===============================
server-ipv6 1234:5678:90ab:cdef:1::/80
push "route-ipv6 2000::/3"
push "dhcp-option DNS 2606:4700:4700::1111"
===============================
Также на сервере активирую переадресацию net.ipv6.conf.all.forwarding=1
То есть, сервер раздает адреса из блока /80 клиентам.
Подключаю клиента, ipv6 адрес клиент получает, но пинговать может только сервер. Внешние адреса типа ipv6.google.com пинг с клиента не идет.
Можно на сервере сделать ip6table -t nat POSTROUTING .... но в этом случае клиенты получают ip6 адрес сервера 1234:5678:90ab:cdef::2, а те из блока /80 что сервер им повыдавал, бесполезны, скрыты за nat6. Естественно, из интернета клиенты по выданным им адресам не пингуются, так как они за натом.

Поизучав маны Openvpn выяснил, что адреса из подсети /80 должны быть routed на сервер со стороны хостера. Таки-да, туннель-брокеры именно так и выдают, одна сеть на сервер и одна подсеть routed для клиентов. Задал вопрос моему хостеру - он такого сделать не может. Ради интереса поспрашивал других хостеров - они вообще не понимают что я от них хочу.

Можно ли каким-то образом присвоить клиентам каждому свой нативный IP6 без участия хостера? А то получается, хостер выдает огромный блок /64, а из этого блока мне нужен только один адрес для внешнего интерфейса, а остальные бесполезны.
  • Вопрос задан
  • 188 просмотров
Решения вопроса 1
@tamogavk
@deni4ka
Надо tap вместо tun потом bridge-уешь его с внешним интерфейсом и на bridge терминируешь ipv6 /64
Ответ написан
Комментировать
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы