OpenVPN poslouchající na IPv4 a IPv6 adrese

mhepp

OpenVPN poslouchající na IPv4 a IPv6 adrese
« kdy: 30. 10. 2017, 14:14:22 »
Ahoj,

mám tu problém, jak přinutit OpenVPN, aby poslouchalo příchozí spojení na konkrétní IPv4 a IPv6. Mám několik OpenVPN serverů, které běží na jednom stroji a v tuto chvíli poslouchají pouze na IPv4 adrese, kterou mají nastavenou v konfiguraci. Rád bych, kdyby měl každý tento VPN server IPv4 i IPv6 adresu. OpenVPN mohu nechat poslouchat na všech adresách (nemožné, na ostatních adresách mají poslouchat jiné VPN servery), nebo na jedné konkrétní (IPv4 XOR IPv6).

Napadlo mne použít HAproxy, ale ta nepodporuje UDP. Napadá vás nějaké řešení situace?
« Poslední změna: 30. 10. 2017, 14:34:08 od Petr Krčmář »


Re:OpenVPN poslouchající na IPv4 a IPv6 adrese
« Odpověď #1 kdy: 30. 10. 2017, 15:43:04 »
Z textu to není úplně jasné, ale: máte na serveru několik různých IPv4 adres a na každé z nich (ale na stejném portu) dnes visí jeden OpenVPN server? A pokud ano, chcete k této konfiguraci přidat listen na IPv6 socketu tak, aby bylo možné připojovat se k OpenVPN pomocí IPv4 i IPv6, ale nechcete, aby OpenVPN naslouchala na "any" (0.0.0.0 resp. ::)?

No, tak to nejspíš ani po 10 letech nejde, protože OpenVPN je singlethreadová aplikace.

Pokud můžete OpenVPN spustit na vyhrazeném portu (nevyužívaném jinými IP) a nechat ji poslouchat na "any", funguje dobře tato konfigurace:
Kód: [Vybrat]
port xxx
proto udp6
multihome

Alternativou je spustit dva OpenVPN procesy - jeden pro IPv4 a jeden pro IPv6 - se vším, co to obnáší (přpadný bridge pro tap, vlastní DHCP pooly a oddělené routování).

mhepp

Re:OpenVPN poslouchající na IPv4 a IPv6 adrese
« Odpověď #2 kdy: 30. 10. 2017, 15:58:18 »
Díky za odpověď.

Je to tak, jak píšeš. Že to nejde přímo vlastností OpenVPN tak nějak vím.

Problém je v tom, že tyto servery využívá široká škála klientů a já potřebuji co nejjednodušší konfiguraci. Stejně tak je problém měnit konfiguraci klientů (cca 50000 nezodpovědných uživatelů, co si akorát stěžuje když něco nejede). Ve výsledku, někdy v budoucnu asi dojde k nasazení režimu bridge a DHCP a tak, jen jsem si letos možnost změny konfigurace na minimálně tři roky vyčerpal, když jsem byl donucen změnit certifikát CA. Alespoň mi to dává možnost řádně promyslet nové řešení.

Proto netrvám na čistě OpenVPN řešení, ale jak jsem psal, nebráním se něčemu jako HAproxy nad UDP. Pokud by to bylo stabilní a dávalo funkční řešení... Další řešení, co jsem zvažoval, uzavřít jednotlivé instance VPN do kontejneru, kde by měly k dispozici „0.0.0.0“. To ale zvyšuje nároky na údržbu...