Comments | klink0v: IPv6 внутри OpenVPN

klink0v

IPv6 внутри OpenVPN

May 31, 2024 01:39

Примерная задача

Домашний / мобильный провайдер не дает IPv6, а хочется.

Примерное решение

Организуем себе VDS с OpenVPN-сервером. Если он будет находится за пределами России, то приятным бонусом к решению приложится доступ на всякие крамольные ресурсы наподобие cisco.com, redhat.com, docker.io и иже с ними.

Настраиваем OpenVPN на сервере "как обычно ( Read more... )

ссылки, ipv6, openvpn

Comments 7

edo_rus May 31 2024, 03:29:52 UTC

инженеры IETF решили поменять механизм работы GetAddrInfo в ULA-сетях
а можно детали?

у меня сейчас сделано так: в домашней локалке ipv6-сеть от провайдера (домру), если трафик отправляется в туннель, то snat до подсетки в fc00::/7, а на месте уже делается snat до адреса, выданного хостингом (двойной nat, чтобы не зависеть от адреса vps, ну и упростить роутинг на vps).
не нравится в этой схеме только то, что если домру падает, то ipv4 у меня переходит на резервный канал, а ipv6 пропадает. благо, ipv6 сегодня блажь, всё в таком случае просто работает через ipv4.

P.S. вообще никак не могу я вжиться в эту парадигму «адресов может быть много», ну я могу отдавать radvd'ом 100500 реальных подсетей в локалку, а что дальше? как мне сказать телефону, что на facebook и dell надо ходить с этого адреса, а на госуслуги - вот с этого?
то ли я что-то не понимаю, то ли работает оно лишь для вырожденных случаев.

klink0v May 31 2024, 10:15:45 UTC

> а можно детали

Если на интерфейсе хоста-клиента одновременно присутствуют IPv4 и ULA, то при коннекте пофиг куда по доменному имени всегда будет использоваться IPv4, даже если в ответ на DNS запрос вернулись A и AAAA.

> а ipv6 пропадает

Вместо двойного SNAT раздай на клиенты в домашней сети адреса из диапазона "2001:db8::/32" и делай один NAT "там", один NAT "тут" на адреса одного и другого провайдера.

> как мне сказать телефону

Никак. Технически можно было бы спускать клиентам статические маршруты (DST Routes) по DHCPv6, но есть проблема: Android до сих пор (2024й год, ага) не умеет в DHCPv6...

Если речь идет только про HTTP(s), то теоретически можно попробовать спускать клиентам PAC-файлы (на какие адреса через какую проксю ходить). Или просто "одну на всех" проксю сделать, которая уже будет решать куда кого по SNI Hostname.

vanxant May 31 2024, 06:45:45 UTC

А ещё можно обойтись без VPS и OpenVPN, подключив бесплатный шлюз тередо от Hurricane Electric. Собственно, у меня доступ к забугорью именно так и сделан. Гугл, правда, считает, что я в Нидерландах, но это и хорошо.

klink0v May 31 2024, 10:21:42 UTC

Можно да. Но мне чисто субъективно не нравится как работает Hurricane. Ну и DPI вылавливает такую штуку на раз-два.

kvazimoda24 May 31 2024, 12:26:24 UTC

У них вечные проблемы со связностью в России, плюс, многие блочат их адреса.

cae32 May 31 2024, 07:24:48 UTC

У мну популярный протокол входа в офисы товарищ жёлто-чёрный в ростове забанил нафиг. Вначале tcp, потом udp. При этом ssh работает.

Такие дела. автоматический дпи с нейтронной сетью, похоже. Ибо мой трафик мизер и никакой ручной мониторинг его не выявил бы, кмк.

mnogo_hodovka May 31 2024, 07:59:59 UTC

Лучше всё-таки не с серверных ("дата-центровых") IPv6-адресов на заблокированные в РФ ресурсы ходить, а с резидентного прокси IPv6 и IPv4.