新增 OVPN 用戶端以存取另一台伺服器上的網路的 OpenVPN 伺服器會破壞 IPv6

新增 OVPN 用戶端以存取另一台伺服器上的網路的 OpenVPN 伺服器會破壞 IPv6

我有一個正在運行的 OpenVPN 伺服器,它為客戶端提供與 IPv4 和 IPv6 連接的工作。我正在嘗試向該系統添加一個 OpenVPN 用戶端,該客戶端連接到另一個可以提供預設路由的 OpenVPN 伺服器,但實際上我希望為此客戶端停用此功能。與此伺服器一起執行的 OpenVPN 用戶端的目的只是提供對該其他伺服器上的某些 IPv4 和 IPv6 子網路的存取。當我啟用 OpenVPN 用戶端時,IPv4 工作正常,但當另一台伺服器的用戶端正在運行時,伺服器本身將無法從網際網路取得任何 IPv6 流量。

伺服器上的 OpenVPN 服務運行,openvpn@server連接到另一個 OpenVPN 伺服器的用戶端運行,最後一項服務阻止伺服器在其互聯網介面的openvpn@clientIPv6 位址上接收任何內容。停止eth0openvpn@client,IPv6 服務(例如 SSH 和 ping 請求)可以工作,但其他方面則不能。

openvpn@server這是...的配置

port 9976
proto udp
proto udp6
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.7.0.0 255.255.255.0
server-ipv6 fd0a:beef:b00b:cafe::/112
ifconfig-pool-persist ipp.txt
tun-ipv6
push tun-ipv6
push "route-ipv6 2000::/3"
push "dhcp-option DNS 10.7.0.1"
push "dhcp-option DNS6 fd0a::beef:b00b:cafe::1"
push "redirect-gateway def1 bypass-dhcp"
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_emjWqXeJkx9FLowU.crt
key server_emjWqXeJkx9FLowU.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
client-config-dir /etc/openvpn/ccd
status /var/log/openvpn/status.log
verb 3

openvpn@home這是...的配置

client
proto udp
explicit-exit-notify
remote 139.218.29.235 1194
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_3UvQL2AfKLys5yTS name
auth SHA256
auth-nocache
cipher AES-256-GCM
tls-client
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
ignore-unknown-option block-outside-dns
setenv opt block-outside-dns # Prevent Windows 10 DNS leak
verb 3
route-nopull
pull-filter ignore route-ipv6
pull-filter ignore redirect-gateway
route 192.168.1.0 255.255.255.0
route 192.168.84.0 255.255.255.0
route-ipv6 2403:ffff:ffff:ffff::/64 #redacted
route-ipv6 fd00:beef:b00b:cafe::/64

當兩者都啟動時,您將獲得這些地址和路線,並且我發現沒有任何衝突。 (我已經編輯了伺服器的 IPv6 網際網路位址),但是當第二個 OpenVPN 服務運行時 eth0 IPv6 被破壞了...

1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 state UNKNOWN qlen 1000
    inet6 ::1/128 scope host noprefixroute 
       valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 state UP qlen 1000
    inet6 2404:ffff:ffff:ffff:216:3eff:fee2:12fe/64 scope global dynamic mngtmpaddr 
       valid_lft 4sec preferred_lft 3sec
    inet6 fe80::216:3eff:fee2:12fe/64 scope link 
       valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 state UNKNOWN qlen 500
    inet6 fd0a:beef:b00b:cafe::1/112 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::b9ec:b1f8:e65:7f3d/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever
8: tun1: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 state UNKNOWN qlen 500
    inet6 fd08:beef:b00b:cafe::3/112 scope global 
       valid_lft forever preferred_lft forever
    inet6 fe80::f807:1850:2b87:348/64 scope link stable-privacy 
       valid_lft forever preferred_lft forever
2403:ffff:ffff:ffff::/64 dev tun1 metric 1024 pref medium
2404:ffff:ffff::/64 dev eth0 proto kernel metric 256 expires 4sec pref medium
fd00:beef:b00b:cafe::/64 dev tun1 metric 1024 pref medium
fd08:beef:b00b:cafe::/112 dev tun1 proto kernel metric 256 pref medium
fd0a:beef:b00b:cafe::/112 dev tun0 proto kernel metric 256 pref medium
fe80::/64 dev eth0 proto kernel metric 256 pref medium
fe80::/64 dev tun0 proto kernel metric 256 pref medium
fe80::/64 dev tun1 proto kernel metric 256 pref medium
default via fe80::ec4:7aff:fecc:1ca7 dev eth0 proto ra metric 1024 expires 1sec hoplimit 64 pref medium
default via fe80::ec4:7aff:fe7c:bf1f dev eth0 proto ra metric 1024 expires 4sec hoplimit 64 pref high

我不確定這裡出了什麼問題,並且openvpn@home正如我的配置文件所述,該服務似乎沒有分配上面的任何預設路由。我不明白為什麼這會在服務啟動時阻止 eth0 取得任何 IPv6 流量。 IPv4 工作正常,我似乎能夠在我的客戶端設定中取得這些 LAN 子網路。另一個 OpenVPN 伺服器旨在提供互聯網,但我不想要它。

答案1

我發現我的做法是錯誤的,因此更改了連接到另一個 OpenVPN 伺服器的客戶端配置,並簡單地註解掉了我的靜態 IPv6 路由。

#route-ipv6 2403:4800:3f02:1483::/64
#route-ipv6 fd00:beef:b00b:cafe::/64

相反,在第二台伺服器上,我/etc/openvpn/ccd為此客戶端創建了一個客戶端配置文件,該文件將其 IPv6 子網引用為 iroute...

iroute-ipv6 fd08:beef:b00b:cafe::/64

事情開始起作用了!

相關內容