別のサーバーのネットワークにアクセスするために OVPN クライアントが追加された OpenVPN サーバーが IPv6 を破壊します

別のサーバーのネットワークにアクセスするために OVPN クライアントが追加された OpenVPN サーバーが IPv6 を破壊します

私は稼働中の OpenVPN サーバーを持っており、これは IPv4 と IPv6 で接続するクライアントを提供します。このシステムに、デフォルト ルートを提供できる別の OpenVPN サーバーに接続する OpenVPN クライアントを追加しようとしていますが、実際にはこのクライアントに対してこれを無効にしたいのです。このサーバーと並行して稼働する OpenVPN クライアントの目的は、他のサーバー上の IPv4 および IPv6 サブネットの一部へのアクセスを提供することです。OpenVPN クライアントを有効にすると IPv4 は正常に機能しますが、他のサーバーへのクライアントが稼働しているときにサーバー自体はインターネットからの IPv6 トラフィックを取得できなくなります。

サーバー上の OpenVPN サービスは として実行されopenvpn@server、別の OpenVPN サーバーに接続するクライアントは として実行されopenvpn@client、最後のサービスによって、サーバーがインターネット インターフェイスの IPv6 アドレスで何も受信できなくなりますeth0openvpn@client停止すると、SSH や ping 要求などの IPv6 サービスは機能しますが、それ以外は機能しません。

openvpn@serverこれは...の設定です。

port 9976
proto udp
proto udp6
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.7.0.0 255.255.255.0
server-ipv6 fd0a:beef:b00b:cafe::/112
ifconfig-pool-persist ipp.txt
tun-ipv6
push tun-ipv6
push "route-ipv6 2000::/3"
push "dhcp-option DNS 10.7.0.1"
push "dhcp-option DNS6 fd0a::beef:b00b:cafe::1"
push "redirect-gateway def1 bypass-dhcp"
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_emjWqXeJkx9FLowU.crt
key server_emjWqXeJkx9FLowU.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
client-config-dir /etc/openvpn/ccd
status /var/log/openvpn/status.log
verb 3

openvpn@homeこれは...の設定です。

client
proto udp
explicit-exit-notify
remote 139.218.29.235 1194
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_3UvQL2AfKLys5yTS name
auth SHA256
auth-nocache
cipher AES-256-GCM
tls-client
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
ignore-unknown-option block-outside-dns
setenv opt block-outside-dns # Prevent Windows 10 DNS leak
verb 3
route-nopull
pull-filter ignore route-ipv6
pull-filter ignore redirect-gateway
route 192.168.1.0 255.255.255.0
route 192.168.84.0 255.255.255.0
route-ipv6 2403:ffff:ffff:ffff::/64 #redacted
route-ipv6 fd00:beef:b00b:cafe::/64

両方がアクティブになると、これらのアドレスとルートが取得され、競合は見られません。(サーバーの IPv6 インターネット アドレスを編集しました) ただし、2 番目の OpenVPN サービスが実行されている場合、eth0 IPv6 は壊れます...

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
    inet6 ::1/128 scope host noprefixroute 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 2404:ffff:ffff:ffff:216:3eff:fee2:12fe/64 scope global dynamic mngtmpaddr 
       valid_lft 4sec preferred_lft 3sec
    inet6 fe80::216:3eff:fee2:12fe/64 scope link 
       valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 state UNKNOWN qlen 500
    inet6 fd0a:beef:b00b:cafe::1/112 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::b9ec:b1f8:e65:7f3d/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever
8: tun1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 state UNKNOWN qlen 500
    inet6 fd08:beef:b00b:cafe::3/112 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::f807:1850:2b87:348/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever
2403:ffff:ffff:ffff::/64 dev tun1 metric 1024 pref medium
2404:ffff:ffff::/64 dev eth0 proto kernel metric 256 expires 4sec pref medium
fd00:beef:b00b:cafe::/64 dev tun1 metric 1024 pref medium
fd08:beef:b00b:cafe::/112 dev tun1 proto kernel metric 256 pref medium
fd0a:beef:b00b:cafe::/112 dev tun0 proto kernel metric 256 pref medium
fe80::/64 dev eth0 proto kernel metric 256 pref medium
fe80::/64 dev tun0 proto kernel metric 256 pref medium
fe80::/64 dev tun1 proto kernel metric 256 pref medium
default via fe80::ec4:7aff:fecc:1ca7 dev eth0 proto ra metric 1024 expires 1sec hoplimit 64 pref medium
default via fe80::ec4:7aff:fe7c:bf1f dev eth0 proto ra metric 1024 expires 4sec hoplimit 64 pref high

ここで何が間違っているのかわかりません。また、openvpn@home構成ファイルに記載されているように、サービスは上記のデフォルト ルートを割り当てていないようです。サービスの開始時に eth0 が IPv6 トラフィックを取得できなくなる理由がわかりません。IPv4 は正常に動作し、クライアント構成でこれらの LAN サブネットを取得できるようです。他の OpenVPN サーバーはインターネットを提供することを目的としていますが、私はそのサーバーからインターネットを提供するつもりはありません。

答え1

私は間違ったことをしていたことに気づき、代わりに別の OpenVPN サーバーに接続するクライアント構成を変更し、静的 IPv6 ルートをコメント アウトしました。

#route-ipv6 2403:4800:3f02:1483::/64
#route-ipv6 fd00:beef:b00b:cafe::/64

/etc/openvpn/ccd代わりに、2 番目のサーバーで、このクライアントの IPv6 サブネットを iroute として参照するクライアント構成ファイルを作成しました...

iroute-ipv6 fd08:beef:b00b:cafe::/64

物事が動き始めました!

関連情報