Score:0

อินเทอร์เฟซการแตะที่ไม่มีที่อยู่ OpenVPN IPv6

ธง ye

ฉันกำลังพยายามอัปเกรดเซิร์ฟเวอร์ openvpn และฉันมีปัญหาเกี่ยวกับการกำหนดค่า IPv6 ฉันคิดวิธีกำหนดค่าอินเทอร์เฟซการแตะโดยไม่มีที่อยู่ IPv6 ไม่ได้ และยังสามารถกำหนดที่อยู่ IPv6 ให้กับไคลเอนต์ที่เชื่อมต่อได้

ด้วยเหตุผลที่เชื่อมโยงกับโครงสร้างหรือเครือข่ายของเรา VPN มี ให้อยู่ในโหมดบริดจ์ (อินเทอร์เฟซการแตะ) และการกำหนดเส้นทางทั้งหมดจาก / ไปยังไคลเอนต์ VPN นั้นทำบนอุปกรณ์เราเตอร์แยกต่างหาก (เซิร์ฟเวอร์ openvpn เป็นกล่องลินุกซ์เฉพาะที่ฉันใช้เพื่อออฟโหลดการประมวลผล VPN จากเราเตอร์นั้นเท่านั้น ไม่มีการกำหนดเส้นทาง /ส่งต่อเอง).

ในการตั้งค่าปัจจุบันของฉัน อินเทอร์เฟซเสมือนการแตะไม่มีที่อยู่ IPv4 หรือ IPv6 พวกเขาเชื่อมต่อกับอินเทอร์เฟซทางกายภาพหรือ VLAN และที่อยู่เดียวที่ไคลเอนต์เห็นคือที่อยู่ของเราเตอร์ กล่อง openvpn จะกระจายที่อยู่ IPv4/IPv6 ไปยังไคลเอนต์เมื่อพวกเขาเชื่อมต่อ

ข้อความที่ตัดตอนมาจากการกำหนดค่าเซิร์ฟเวอร์ปัจจุบันของฉัน (เฉพาะส่วนที่เกี่ยวข้อง):

dev tap-vpn
[...]
เซิร์ฟเวอร์บริดจ์ 192.0.2.1 255.255.255.128 192.0.2.11 192.0.2.40
tun-ipv6
ifconfig-ipv6 2001:db8:1234:5678::1/64 2001:db8:1234:5678::1
ifconfig-ipv6-pool 2001:db8:1234:5678::11/64
[...]
กด "tun-ipv6"
กด "เส้นทาง 192.x.y.z"
กด "route-ipv6 2001:db8:1234:4321::/64"

สิ่งนี้ทำงานได้ตามที่คาดหวังใน OpenVPN 2.3 : กล่องไม่มีที่อยู่ต่อกับอินเทอร์เฟซ tap-vpn และกระจายที่อยู่ IPv4 192.0.2.11 - 192.0.2.40 และ IPv6 เริ่มต้นจาก 2001:db8:1234:5678::11 และมัน พุชเส้นทางตามที่ลูกค้าคาดไว้ ด้วยเกตเวย์ 192.0.2.1 และ 2001:db8:1234:5678::1

ด้วยเหตุผลด้านความปลอดภัย ฉันปิดใช้งาน IPv6 ที่ระดับเคอร์เนลบนอินเทอร์เฟซนั้น :

เสียงสะท้อน 1 >/proc/sys/net/ipv6/conf/tap-vpn/disable_ipv6

การอัปเกรดเป็นเวอร์ชันล่าสุดจะทำให้การตั้งค่านี้หยุดชะงัก ในแง่ที่ว่า ifconfig-ipv6 ตอนนี้ ต้องการ เพื่อกำหนดที่อยู่ IPv6 ให้กับอินเทอร์เฟซ และการปิดใช้งาน IPv6 ที่ระดับเคอร์เนลจะป้องกันไม่ให้ openvpn เริ่มทำงาน การถอด ifconfig-ipv6 คำสั่งก็เป็นไปไม่ได้เช่นกัน ifconfig-ipv6-พูล ต้องการมัน

ฉันรู้ว่าตอนนี้ tun-ipv6 เลิกใช้แล้ว แต่การลบ / เพิ่มดูเหมือนจะไม่เปลี่ยนแปลงอะไรเลย ฉันได้อ่านเอกสารต่างๆ รวมทั้งหน้า man และตรวจทานแล้ว นี้, นี้ และ นี้ เธรด แต่สิ่งเหล่านี้ดูเหมือนจะไม่ตรงกับข้อกังวลของฉัน

หากไม่สามารถตั้งค่าตามที่ฉันตั้งใจไว้ได้จริงๆ ฉันจะหาวิธีอื่นในการรักษาความปลอดภัยให้กับเครื่อง VPN เช่น ไฟร์วอลล์ในเครื่อง แต่ฉันคิดว่ามันสวยงามกว่าถ้าไม่มีที่อยู่ IPv6 บนก๊อก (เช่น ฉันไม่มี IPv4) และใช้เป็นองค์ประกอบเชื่อมโยง

FWIW ฉันใช้ slackware64 15.0 บน PCEngines APU mini-PC แต่ปัญหาอาจไม่ได้อยู่ที่เลเยอร์ OS

ความช่วยเหลือหรือตัวชี้ไปยังตัวอย่างการทำงานใด ๆ ที่จะได้รับการชื่นชมอย่างมาก

โพสต์คำตอบ

คนส่วนใหญ่ไม่เข้าใจว่าการถามคำถามมากมายจะปลดล็อกการเรียนรู้และปรับปรุงความสัมพันธ์ระหว่างบุคคล ตัวอย่างเช่น ในการศึกษาของ Alison แม้ว่าผู้คนจะจำได้อย่างแม่นยำว่ามีคำถามกี่ข้อที่ถูกถามในการสนทนา แต่พวกเขาไม่เข้าใจความเชื่อมโยงระหว่างคำถามและความชอบ จากการศึกษาทั้ง 4 เรื่องที่ผู้เข้าร่วมมีส่วนร่วมในการสนทนาด้วยตนเองหรืออ่านบันทึกการสนทนาของผู้อื่น ผู้คนมักไม่ตระหนักว่าการถามคำถามจะมีอิทธิพลหรือมีอิทธิพลต่อระดับมิตรภาพระหว่างผู้สนทนา