2022. január 24., hétfő

Gyorskeresés

VPN szerver ipv6 ip cím kiosztással

Írta: | Kulcsszavak: Vpn . openwrt . openvpn . ipv6 . beállítás

[ ÚJ BEJEGYZÉS ]

Régebbi leírásom alapján összerakott openwrt-s TP-Link routeren futó virtulális magánhálózati (VPN) szerveremet beállítottam, hogy ipv6 ip címmel is kiszolgáljon

Nekiáltam megkeresni, hogy az openvpn konfigurációs állományát mivel is kéne kiegészítenem az ipv6 működésre bírásának érdekében. Rögtön az Openwrt wiki openvpn oldalának ipv6-al foglalkozó részére jutottam. A leírtak szerint beírtam mindent a konfigurációs állományba. Heppy voltam, hogy VPN-en keresztül van ipv6 címem az openvpn kliens telefonomon történt elindítása és a connect gombra történő koppintás után. De hogy miért is legyen egyszerű az élet, az egész nem ment. Hiába volt ipv6 cím, használhatalan volt, pedig a leírást követtem.
Megézem az interfészeket az Openwrt Luci felületén. Látom hogy a VPN és a LAN interfész is ugyan azt a címet kapta meg, amiből már látszott, hogy ez problémás lehet.
Át kéne írni valamelyiket, na de hogyan? Statikusan kéne mondjuk megadni a LAN címet. Ekkor mentem az Openwrt PH! fórumára feltenni ezt a kérdést. Ekkor még nem tudtam, hogy a LAN beállításainál az Ipv6 assignment length disabledre állításával statikusan lehet megadni LAN ipv6 címet és prefixet a hálózatra kapcsolódó klienseknek kiosztásra, ipcím előállításra. Sejtettem hogy az ipv6 asdignment hint is az ipv6 cím módosítára való. Próbálgattam is az opciót, de bármit írtam bele, azt nem vette tudomásul a rendszer. Később szerencsére kiderült a megoldás.
De még mielőtt kiderülhetett volna, megcsináltam a LAN interfészt statikus ipv6 címmel. Hogy hogyan is működött, arról írtam egy hozzászólást az Openwrt PH fórumán. A hsz utolsó bekezdésében vázolt probléma az Ipv6 assignment hint használatával el is múlt.

Hogy működik jelenleg a VPN rendszer, ami ipv6 címet is kioszt?

Az /etc/config/openvpn fájl tartalma: (nem fórum nyilvánosságra tartozó ipcím részlet kitakarva!)
config openvpn 'myvpn'
option enabled '1'
option verb '3'
option port '50015'
option proto 'tcp'
option dev 'tun'
option server '192.168.2.0 255.255.255.0'
option server_ipv6 '2001:[NEM Publikus ipcím részlet]:20::/64'
option keepalive '10 120'
option ca '/etc/openvpn/ca.crt'
option cert '/etc/openvpn/my-server.crt'
option key '/etc/openvpn/my-server.key'
option dh '/etc/openvpn/dh2048.pem'
list push 'route 192.168.1.0 255.255.255.0'
list push 'redirect-gateway def1'
list push 'route-ipv6 2001:[NEM Publikus ipcím részlet]:20::/64'
list push 'route-ipv6 2000::/3'

Ami az eredetihez képest változott az csak list push route-ipv6 két sora illetve az option server_ipv6 sor.

Az /etc/config/network fájlban található a LAN, VPN és a HENET(azaz az ipv4 feletti ipv6 tunnelem) interface beállítása

config interface 'lan'
option ifname 'eth1'
option force_link '1'
option type 'bridge'
option proto 'static'
option netmask '255.255.255.0'
option ipaddr '192.168.1.250'
option gateway '192.168.1.4'
option dns '192.168.1.4'
option ip6assign '64'
option ip6hint '10'

config interface 'henet'
option proto '6in4'
option username '.....[Cenzorálva!]........'
option peeraddr '216.66.87.14'
option ip6addr '2001:.....[Cenzorálva!]........::2/64'
option tunnelid '4.....[Cenzorálva!]........9'
option password 'M.....[Cenzorálva!]........0S'
option ip6prefix '2001:.....[Cenzorálva!]........::/48'

config interface 'vpn0'
option ifname 'tun0'
option proto 'none'
option auto '1
'

Henet: /48-as prefix van kérve a Henet szolgáltatótól így lehet készíteni 2001:1234:5678:[SUBID]:[Interfész azonosító] struktúrájú ipv6 címeket. Képezhetők belőle /64-es alhálózatok.
LAN: /64-es alhálózat. Az ipv6hint segítségével 2001:Xxx:Xxx:10::1/64 ipv6 címe van.
VPN: /64-es alhálózat. Az ipv6hintet itt az option server_ipv6 helyettesíti. 2001:Xxxx:Xxxx:20::1/64 címe van

A fent linkelt Openwrt Openvpn ipv6 wiki által javasolt config route6 rész nincs benne a network config fájlban. Felesleges, mert nélküle is megy minden.

Ha mindent jól csináltunk, akkor VPN kliensel kapcsolódva megkapjuk az ipv6 címünket. Külső hálózatról (online ipv6 pingelő oldallal) pingelhető (ha a tűzfalon engedélyezve van a megfelelő ICMP csomag forwardolása), ipv6 képesség tesztoldallal ellenőrizhető.


Hozzászólások

(#1) PrometheusX


PrometheusX
aktív tag

:R Köszi a guide-ot!

Hasznos lesz a jövőben. :)

(#2) btz válasza PrometheusX (#1) üzenetére


btz
addikt

Örülök. Remélem valaki bekonfigurál eszerint egy VPN-t.
Én miután törlöm a routerem beállításait, eszetint szoktam visszaírni az állapotot, csak copy pastelem az SSH-ba a parancsokat és a végén megy a server. Kiváncsi lennék, hogy másnak is sikerül e vagy nem olyan evidens.

ⓑⓣⓩ

További hozzászólások megtekintése...
Copyright © 2000-2022 PROHARDVER Informatikai Kft.