我已经设法使用 tap0 为完整的 IPv4 连接设置了 OpenVPN。现在我想对 IPv6 做同样的事情。
地址和网络设置(注意我的真实前缀被 2001:db8 替换):
2001:db8::100:0:0/96 my assigned IPv6 range
2001:db8::100:abc:0/112 OpenVPN IPv6 range
2001:db8::100:abc:1 tap0 (on server) (set as gateway on client)
2001:db8::100:abc:2 tap0 (on client)
2001:db8::1:2:3:4 gateway for server
Home laptop (tap0: 2001:db8::100:abc:2/112 gateway 2001:db8::100:abc:1/112)
| | | (running Kubuntu 10.10; OpenVPN 2.1.0-3ubuntu1)
| wifi | |
router |
| OpenVPN
INTERNET |
eth0 | /tap0
VPS (eth0:2001:db8::1:2:3:4/64 gateway 2001:db8::1)
(tap0: 2001:db8::100:abc:1/112)
(running Debian 6; OpenVPN 2.1.3-2)
服务器具有本机 IPv4 和 IPv6 连接,客户端只有 IPv4。
我可以通过 OpenVPN ping6 我的服务器,但不能 ping6 到其他机器(例如,ipv6.google.com)。
net.ipv6.conf.all.forwarding设置为1,我也尝试禁用net.ipv6.conf.all.accept_ra,但没有运气。
使用 tcpdump服务器和客户端上,我可以看到,包实际上是调过来tap0中为eth0。路由器 (2001:db8::1) 收到 ICMP6 回显请求后,向 eth0 发送客户端的邻居请求 (2001:db8::100:abc:2)。服务器不响应该请求,这会导致 ICMP6 回显请求未路由到目标。
我怎样才能使这个 IPv6 连接工作?
Timothy Baldwins 的回答让我走上了正轨,尽管答案相当神秘。IPv6 邻居广告/请求就像 IPv6 的 ARP。它用于“查看”网络上的其他机器。路由器发送邻居请求,机器(服务器或客户端)应在该请求上回复邻居通告。
即使net.ipv6.conf.all.forwarding设置为1,也不会转发邻居广告和请求。要使 eth0 转发邻居广告和请求,应将 eth0 设置为 tap0 后面客户端 IPv6 地址的代理,并应为 eth0 启用邻居代理:
echo 1 > /proc/sys/net/ipv6/conf/eth0/proxy_ndp
/sbin/ip -6 neigh add proxy 2001:db8::100:abc:2 dev eth0
不幸的是,无法检索添加的代理列表,也不会ip -6在重复执行命令时显示错误消息。我也不确定“neigh del proxy”是否有效,它不会给出错误消息,而且C 源代码对我来说没有真正意义。
由于我不想手动完成所有工作,因此我创建了一个脚本来为我完成工作。
IPv6地址是基于IPv4的部分(1在10.8.0。1)。前缀和网络掩码存储在/etc/openvpn/variables.
接下来的步骤是设置 OpenVPN,通过本地 IPv4 连接加密 IPv4/IPv6 连接到 Internet。RSA 密钥和tls-auth用于身份验证和 MITM 预防。
/etc/openvpn/variables 包含用于 up 脚本(在启动时运行,在创建 tap0 设备后运行)和客户端连接脚本(在客户端通过身份验证后运行)的变量。
# this prefix is handled out by the provider, replace it with your own prefix
prefix=2001:db8::abc
# netmask, 2001:db9::abc:0000 - 2001:db9::abc:FFFF
prefixlen=112
/etc/openvpn/server-clientconnect.sh以 root 身份执行,并通过将 IPv6 地址添加到 eth0 代理来确保正确路由 IPv6。因为client-connect在 OpenVPN 切换到User设置指定的用户后调用,sudo需要给脚本足够的权限以 root 运行。当然,使用前要检查变量,数字应该在2个ad 254之间,包括2个。(1是网关,255是广播地址)。
#!/bin/sh
. /etc/openvpn/variables
if [ -z "$ifconfig_pool_remote_ip" ]; then
echo "Missing environment variable."
exit 1
fi
ipp=$(echo "$ifconfig_pool_remote_ip" | cut -d. -f4)
if ! [ "$ipp" -ge 2 -a "$ipp" -le 254 ] 2>/dev/null; then
echo "Invalid IP part."
exit 1
fi
hexipp=$(printf '%x' $ipp)
/sbin/ip -6 neigh add proxy $pfx:$hexipp dev eth0
为了使这个工作,用户vpn应该被允许运行脚本,同时保留$ifconfig_pool_remote_ip包含远程网络 IPv4 地址的脚本。通过执行sudo visudo和附加将下一行添加到 sudoers 文件:
Defaults:vpn env_keep=ifconfig_pool_remote_ip
vpn ALL=NOPASSWD: /etc/openvpn/server-clientconnect.sh
/etc/openvpn/server-up.sh在 eth0 上启用 IPv4、IPv6 转发(eth0+tap0 不起作用,它确实必须all)和邻居代理。它也将网关地址添加到服务器tap0。
#!/bin/sh
. /etc/openvpn/variables
/sbin/ip -6 addr add $pfx:1/$pfxlen dev $dev
echo 1 > /proc/sys/net/ipv4/ip_forward
echo 1 > /proc/sys/net/ipv6/conf/all/forwarding
echo 1 > /proc/sys/net/ipv6/conf/eth0/proxy_ndp
最后,OpenVPN 配置文件位于/etc/openvpn/internet.conf:
proto udp
dev tap
ca ca.crt
cert server.crt
key server.key
dh dh1024.pem
server 10.8.0.0 255.255.255.0
script-security 2
up /etc/openvpn/server-up.sh
client-connect "/usr/bin/sudo -u root /etc/openvpn/server-clientconnect.sh"
# encrypt all traffic
push "redirect-gateway def1"
# keep the same IP addresses each time
ifconfig-pool-persist ipp.txt
keepalive 10 120
tls-auth ta.key 0
cipher BF-CBC
comp-lzo
# OpenVPN will switch to this user, it is also used for sudo
user vpn
group vpn
persist-key
persist-tun
为了完整性,文件的权限和所有权/etc/openvpn:
drwx------ root root .
-rw------- root root ca.crt
-rw------- root root dh1024.pem
drwx------ root root easy-rsa <-- left from creation of keys
-rw------- root root ipp.txt
-rwx------ root root server-clientconnect.sh
-rw------- root root internet.conf
-rw------- root root variables
-rwx------ root root server-up.sh
-rw------- root root server.crt
-rw------- root root server.key
-rw------- root root ta.key
-rwx------ root root update-resolv-conf <-- this was installed by default
防火墙设置:
itpables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
iptables -A FORWARD -s 10.8.0.0/24 -i tap0 -o eth0 -j ACCEPT
iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
ip6tables -A FORWARD -m state --state RELATED,ESTABLISHED -j ACCEPT
ip6tables -A FORWARD -s 2001::db8::abc:0/112 -i tap0 -o eth0 -j ACCEPT
/etc/openvpn/client.conf:
client
dev tap
proto udp
remote 178.21.112.251 1194
script-security 2
up /etc/openvpn/client-up.sh
resolv-retry infinite
nobind
user nobody
group nogroup
persist-key
persist-tun
ca ca.crt
cert home.crt
key home.key
ns-cert-type server
tls-auth ta.key 1
cipher BF-CBC
comp-lzo
ta.key并且ca.key是来自服务器的相同文件。home.key和home.crt是在服务器上创建的文件。
client-up.sh 添加 IPv6 地址和路由(基于 IPv4 地址):
#!/bin/sh
pfx='2001:db8::abc'
pfxlen=112
hexippart=`printf '%x' "$(echo $ifconfig_local | cut -d. -f4)"`
/sbin/ip -6 addr add $pfx:$hexippart/$pfxlen dev $dev
/sbin/ip -6 route add default via $pfx:1 dev $dev
http://www.ipsidixit.net/2010/03/24/239/ 上的指南非常有用,OpenVPN 手册页对于有关各种设置的信息很有用。
| 归档时间: |
|
| 查看次数: |
26127 次 |
| 最近记录: |