Ich habe einen laufenden OpenVPN-Server, der Clients Verbindungen mit IPv4 und IPv6 bereitstellt, was funktioniert. Ich versuche, diesem System einen OpenVPN-Client hinzuzufügen, der eine Verbindung zu einem anderen OpenVPN-Server herstellt, der Standardrouten bereitstellen kann, aber eigentlich möchte ich dies für diesen Client deaktivieren. Der Zweck des neben diesem Server laufenden OpenVPN-Clients besteht nur darin, Zugriff auf einige der IPv4- und IPv6-Subnetze auf diesem anderen Server bereitzustellen. Wenn ich den OpenVPN-Client aktiviere, funktioniert IPv4 einwandfrei, aber der Server selbst kann keinen IPv6-Verkehr mehr aus dem Internet empfangen, wenn der Client zum anderen Server läuft.
Der OpenVPN-Dienst auf dem Server läuft als openvpn@serverund der Client, der eine Verbindung zu einem anderen OpenVPN-Server herstellt, läuft als openvpn@clientund dieser letzte Dienst verhindert, dass der Server irgendetwas über seine IPv6-Adresse für seine eth0Internetschnittstelle empfangen kann. Wenn dieser Dienst openvpn@clientgestoppt ist, funktionieren IPv6-Dienste wie SSH und Ping-Anfragen, ansonsten jedoch nicht.
Dies ist die Konfiguration für openvpn@server...
port 9976
proto udp
proto udp6
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.7.0.0 255.255.255.0
server-ipv6 fd0a:beef:b00b:cafe::/112
ifconfig-pool-persist ipp.txt
tun-ipv6
push tun-ipv6
push "route-ipv6 2000::/3"
push "dhcp-option DNS 10.7.0.1"
push "dhcp-option DNS6 fd0a::beef:b00b:cafe::1"
push "redirect-gateway def1 bypass-dhcp"
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_emjWqXeJkx9FLowU.crt
key server_emjWqXeJkx9FLowU.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
client-config-dir /etc/openvpn/ccd
status /var/log/openvpn/status.log
verb 3
Dies ist die Konfiguration für openvpn@home...
client
proto udp
explicit-exit-notify
remote 139.218.29.235 1194
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_3UvQL2AfKLys5yTS name
auth SHA256
auth-nocache
cipher AES-256-GCM
tls-client
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
ignore-unknown-option block-outside-dns
setenv opt block-outside-dns # Prevent Windows 10 DNS leak
verb 3
route-nopull
pull-filter ignore route-ipv6
pull-filter ignore redirect-gateway
route 192.168.1.0 255.255.255.0
route 192.168.84.0 255.255.255.0
route-ipv6 2403:ffff:ffff:ffff::/64 #redacted
route-ipv6 fd00:beef:b00b:cafe::/64
Wenn beide aktiviert sind, erhalten Sie diese Adressen und Routen, und ich sehe keine Konflikte. (Ich habe meine IPv6-Internetadresse für den Server redigiert), aber eth0 IPv6 ist defekt, wenn der zweite OpenVPN-Dienst ausgeführt wird ...
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
inet6 ::1/128 scope host noprefixroute
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
inet6 2404:ffff:ffff:ffff:216:3eff:fee2:12fe/64 scope global dynamic mngtmpaddr
valid_lft 4sec preferred_lft 3sec
inet6 fe80::216:3eff:fee2:12fe/64 scope link
valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 state UNKNOWN qlen 500
inet6 fd0a:beef:b00b:cafe::1/112 scope global
valid_lft forever preferred_lft forever
inet6 fe80::b9ec:b1f8:e65:7f3d/64 scope link stable-privacy
valid_lft forever preferred_lft forever
8: tun1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 state UNKNOWN qlen 500
inet6 fd08:beef:b00b:cafe::3/112 scope global
valid_lft forever preferred_lft forever
inet6 fe80::f807:1850:2b87:348/64 scope link stable-privacy
valid_lft forever preferred_lft forever
2403:ffff:ffff:ffff::/64 dev tun1 metric 1024 pref medium
2404:ffff:ffff::/64 dev eth0 proto kernel metric 256 expires 4sec pref medium
fd00:beef:b00b:cafe::/64 dev tun1 metric 1024 pref medium
fd08:beef:b00b:cafe::/112 dev tun1 proto kernel metric 256 pref medium
fd0a:beef:b00b:cafe::/112 dev tun0 proto kernel metric 256 pref medium
fe80::/64 dev eth0 proto kernel metric 256 pref medium
fe80::/64 dev tun0 proto kernel metric 256 pref medium
fe80::/64 dev tun1 proto kernel metric 256 pref medium
default via fe80::ec4:7aff:fecc:1ca7 dev eth0 proto ra metric 1024 expires 1sec hoplimit 64 pref medium
default via fe80::ec4:7aff:fe7c:bf1f dev eth0 proto ra metric 1024 expires 4sec hoplimit 64 pref high
Ich bin mir nicht sicher, was hier falsch ist, und der openvpn@homeDienst scheint keine Standardrouten zuzuweisen, wie in meiner Konfigurationsdatei angegeben. Ich verstehe nicht, warum dies eth0 daran hindert, IPv6-Verkehr zu empfangen, wenn der Dienst gestartet wird. IPv4 funktioniert einwandfrei, und ich scheine in der Lage zu sein, diese LAN-Subnetze in meiner Client-Konfiguration zu erhalten. Der andere OpenVPN-Server soll Internet bereitstellen, aber das möchte ich von ihm nicht.
Antwort1
Ich habe festgestellt, dass ich einen Fehler gemacht habe und habe stattdessen die Client-Konfiguration geändert, die eine Verbindung zu einem anderen OpenVPN-Server herstellt, und einfach meine statischen IPv6-Routen auskommentiert.
#route-ipv6 2403:4800:3f02:1483::/64
#route-ipv6 fd00:beef:b00b:cafe::/64
Stattdessen habe ich auf dem zweiten Server eine Client-Konfigurationsdatei /etc/openvpn/ccdfür diesen Client erstellt, die auf sein IPv6-Subnetz als iroute verweist …
iroute-ipv6 fd08:beef:b00b:cafe::/64
Die Dinge begannen zu funktionieren!