Tôi đang cố nâng cấp máy chủ openvpn và tôi gặp sự cố liên quan đến cấu hình IPv6. Tôi không thể tìm ra cách định cấu hình giao diện nhấn mà không có địa chỉ IPv6 mà vẫn có thể gán địa chỉ IPv6 cho các máy khách được kết nối.
Vì những lý do liên quan đến cấu trúc hoặc mạng của chúng tôi, VPN có để ở chế độ cầu nối (giao diện nhấn) và tất cả định tuyến từ/đến máy khách VPN được thực hiện trên một thiết bị định tuyến riêng (máy chủ openvpn là một hộp linux chuyên dụng mà tôi chỉ sử dụng để giảm tải xử lý VPN từ bộ định tuyến đó, nó không định tuyến / tự chuyển tiếp).
Trong thiết lập hiện tại của tôi, giao diện ảo nhấn không có địa chỉ IPv4 hay IPv6, chúng được kết nối với giao diện vật lý hoặc VLAN và địa chỉ duy nhất mà khách hàng nhìn thấy là địa chỉ của bộ định tuyến. Hộp openvpn chỉ phân phối địa chỉ IPv4/IPv6 cho khách hàng khi họ kết nối.
Đoạn trích cấu hình máy chủ hiện tại của tôi (chỉ những phần có liên quan):
dev tap-vpn
[…]
cầu máy chủ 192.0.2.1 255.255.255.128 192.0.2.11 192.0.2.40
dò-ipv6
ifconfig-ipv6 2001:db8:1234:5678::1/64 2001:db8:1234:5678::1
ifconfig-ipv6-pool 2001:db8:1234:5678::11/64
[…]
đẩy "tun-ipv6"
đẩy "tuyến đường 192.x.y.z"
đẩy "tuyến-ipv6 2001:db8:1234:4321::/64"
Điều này hoạt động chính xác như mong đợi trong OpenVPN 2.3 : hộp không có địa chỉ được đính kèm với giao diện tap-vpn và phân phối địa chỉ IPv4 192.0.2.11 - 192.0.2.40 và IPv6 bắt đầu từ 2001:db8:1234:5678::11 và nó đẩy các tuyến đường như mong đợi tới các máy khách, với các cổng 192.0.2.1 và 2001:db8:1234:5678::1 .
Vì lý do bảo mật, tôi tắt IPv6 ở cấp kernel trên giao diện đó:
tiếng vang 1 >/proc/sys/net/ipv6/conf/tap-vpn/disable_ipv6
Nâng cấp lên phiên bản mới hơn sẽ phá vỡ thiết lập này, theo nghĩa là ifconfig-ipv6 hiện nay muốn để gán địa chỉ IPv6 cho giao diện và việc tắt IPv6 ở cấp kernel chỉ đơn giản là ngăn openvpn khởi động. Di chuyển cái ifconfig-ipv6 chỉ thị cũng không thể, vì ifconfig-ipv6-pool cần nó.
Tôi biết rằng tun-ipv6 hiện không được dùng nữa, nhưng việc xóa/thêm nó dường như không thay đổi bất cứ điều gì. Tôi đã đọc nhiều tài liệu khác nhau, tất nhiên bao gồm cả trang hướng dẫn và đã xem xét cái này, cái này và cái này nhưng dường như không có chủ đề nào trong số này giải quyết được mối quan tâm của tôi.
Nếu thực sự không thể đạt được thiết lập mà tôi dự định, thì tôi sẽ tìm các cách khác để bảo mật máy VPN, chẳng hạn như tường lửa cục bộ, nhưng tôi sẽ thấy thanh lịch hơn khi chỉ cần không có địa chỉ IPv6 trên vòi (như tôi không có IPv4) và chỉ sử dụng nó như một thành phần bắc cầu.
FWIW, tôi đang sử dụng slackware64 15.0 trên PC mini PCEngines APU, nhưng vấn đề có thể không nằm ở lớp hệ điều hành.
Bất kỳ trợ giúp hoặc con trỏ nào đến một ví dụ hoạt động sẽ được đánh giá cao.
