我试图从 OpenVPN 手册中理解以下声明。
https://community.openvpn.net/openvpn/wiki/IPv6
在路由设置中,您不能使用您的联机网络;您必须使用唯一的路由网络范围,就像使用 IPv4 路由时一样。
简而言之,这就是说要通过开放式 VPN 运行 IPv6(而不将其隐藏在 NAT 后面),您需要有两个 IPv6 /64 块。或者至少一个块和一个完全独立的 IPv6 地址。
谁能解释这是为什么?
我正在努力解决这个问题,因为我有一台分配了 /64 块的服务器。从网络的角度来看,该块中的所有流量都必须发送到我的服务器 (?)。在该服务器上,如果不是它自己的 IP,则所有到该块的流量都将通过 VPN 发送。从 VPN 客户端的角度来看,如果不是它自己的 IP,那么所有到该块的流量都将通过 VPN 发送。
我不明白为什么将相同的 /64 块分配给两个接口会导致整个块分配给一台服务器的问题。
小智 7
不能有两个使用相同地址空间的独立网络。如果你的服务器的上行以太网端口有/64,那么OpenVPN接口不能有相同的,因为它是一个单独的网络。
从技术上讲,您的服务器也没有完整的 /64。它将在其以太网接口上配置一个或多个 /64 地址。它无法知道您的提供者是否为它保留了整个 /64。还有一些提供商将多个客户放在共享的 /64 中。服务器不知道。
因此,要正确执行此操作,您需要为 OpenVPN 网络设置一个单独的 /64,并且该 /64 必须通过您的服务器进行路由(注意“通过”,它不属于服务器,服务器仅路由流量为此,一些地址将属于 VPN 客户端)。这将需要您的提供商为您设置。他们将在他们的路由器和您的服务器之间的网络上配置一个 /64(这是您已经拥有的 /64),并为另一个 /64 配置一个路由,该路由将您的服务器作为下一跳(路由器)。
另一种解决方案是在第 2 层模式下配置 OpenVPN,并在服务器的以太网端口和 OpenVPN Tap 接口之间创建一个以太网桥。这样你就不会有两个单独的网络,每个网络都需要单独的 /64。您将拥有一个带有网桥的网络。一个网络只需要一个/64。您可以将现有网络桥接到您的 VPN 客户端。您必须决定这是否适合您。