Nefunkční routing na WAN v IPv6

Jose D

  • *****
  • 886
    • Zobrazit profil
Re:Nefunkční routing na WAN v IPv6
« Odpověď #15 kdy: 13. 12. 2023, 18:44:04 »
musím říct, že tam nevidím nic vyloženě špatně.

Celkem mi přijde zajímavý, proč máš na tom wireguard iface dvě IP - tu druhou jsi tam přidal ručně, nebo si ji tam wireguard přidal sám?

A z toho serveru samotnýho ta služba je dostupná?


Re:Nefunkční routing na WAN v IPv6
« Odpověď #16 kdy: 13. 12. 2023, 18:47:49 »
Tu sem tam přidal sám, ale to není důležité, kolik jich tam je, klient se nedostane ani na jednu.

Kód: [Vybrat]
[Interface]
Address = 2a03:3b40:200::beef, 2a03:3b40:beef:1::1/64

Zkusil jsem ještě s úplně stejnou konfigurací fw udělat to rozhraní pomocí sit tunelu na he.net, funguje bez problému, klient pingne adresu na inet6, nechápu, možná něco s wg adaptérem.
« Poslední změna: 13. 12. 2023, 18:50:38 od waclaw »

Re:Nefunkční routing na WAN v IPv6
« Odpověď #17 kdy: 13. 12. 2023, 20:28:07 »
A z toho serveru samotnýho ta služba je dostupná?

IPv6 internet je dostupný jak ze serveru, tak od klienta, jediný problém je, že se klient nedostane na IP wanu wireguard rozhraní (inet6). Prostě záhada. Ale mělo by to jít lehce reprodukovat, stačí si vytvořit vpsFree wg tunel a nastavit na lan a wan dva různý /64 rozsahy.

modnar

Re:Nefunkční routing na WAN v IPv6
« Odpověď #18 kdy: 13. 12. 2023, 22:07:25 »
Ten ipv6 forwarding si povoloval jak?
Citace
sysctl -w net.ipv6.conf.all.forwarding=1

Re:Nefunkční routing na WAN v IPv6
« Odpověď #19 kdy: 13. 12. 2023, 22:15:33 »
Ten ipv6 forwarding si povoloval jak?
Citace
sysctl -w net.ipv6.conf.all.forwarding=1

To dělá Shorewall.


Jose D

  • *****
  • 886
    • Zobrazit profil
Re:Nefunkční routing na WAN v IPv6
« Odpověď #20 kdy: 13. 12. 2023, 22:41:47 »
IPv6 internet je dostupný jak ze serveru, tak od klienta, jediný problém je, že se klient nedostane na IP wanu wireguard rozhraní

co to znamená nedostane? Nepřistoupí na službu na něm běžící? Nebo mu nejde ping?
A dostaneš se na tu službu z toho serveru samotnýho?

Ještě vyjeď
Kód: [Vybrat]
sysctl -a | grep forw

modnar

Re:Nefunkční routing na WAN v IPv6
« Odpověď #21 kdy: 14. 12. 2023, 00:14:07 »
Ten ipv6 forwarding si povoloval jak?
Citace
sysctl -w net.ipv6.conf.all.forwarding=1

To dělá Shorewall.

Jo? A mohl bych to videt? Plus rovnou vypis pravidel pro ipv6.

Re:Nefunkční routing na WAN v IPv6
« Odpověď #22 kdy: 14. 12. 2023, 07:32:48 »
co to znamená nedostane? Nepřistoupí na službu na něm běžící? Nebo mu nejde ping?
A dostaneš se na tu službu z toho serveru samotnýho?

Z klienta nejde na wan (inet6) ping ani zadna jina sluzba (web, ...). Ze serveru vse samozrejme funguje.

Ještě vyjeď
Kód: [Vybrat]
sysctl -a | grep forw

Kód: [Vybrat]
net.ipv4.conf.all.bc_forwarding = 0
net.ipv4.conf.all.forwarding = 1
net.ipv4.conf.all.mc_forwarding = 0
net.ipv4.conf.default.bc_forwarding = 0
net.ipv4.conf.default.forwarding = 1
net.ipv4.conf.default.mc_forwarding = 0
net.ipv4.conf.enp4s0.bc_forwarding = 0
net.ipv4.conf.enp4s0.forwarding = 1
net.ipv4.conf.enp4s0.mc_forwarding = 0
net.ipv4.conf.inet.bc_forwarding = 0
net.ipv4.conf.inet.forwarding = 1
net.ipv4.conf.inet.mc_forwarding = 0
net.ipv4.conf.inet6.bc_forwarding = 0
net.ipv4.conf.inet6.forwarding = 1
net.ipv4.conf.inet6.mc_forwarding = 0
net.ipv4.conf.lan.bc_forwarding = 0
net.ipv4.conf.lan.forwarding = 1
net.ipv4.conf.lan.mc_forwarding = 0
net.ipv4.conf.lo.bc_forwarding = 0
net.ipv4.conf.lo.forwarding = 1
net.ipv4.conf.lo.mc_forwarding = 0
net.ipv4.conf.sit0.bc_forwarding = 0
net.ipv4.conf.sit0.forwarding = 1
net.ipv4.conf.sit0.mc_forwarding = 0
net.ipv4.conf.tap0.bc_forwarding = 0
net.ipv4.conf.tap0.forwarding = 1
net.ipv4.conf.tap0.mc_forwarding = 0
net.ipv4.conf.tun0.bc_forwarding = 0
net.ipv4.conf.tun0.forwarding = 1
net.ipv4.conf.tun0.mc_forwarding = 0
net.ipv4.conf.tun1.bc_forwarding = 0
net.ipv4.conf.tun1.forwarding = 1
net.ipv4.conf.tun1.mc_forwarding = 0
net.ipv4.conf.wg0.bc_forwarding = 0
net.ipv4.conf.wg0.forwarding = 1
net.ipv4.conf.wg0.mc_forwarding = 0
net.ipv4.ip_forward = 1
net.ipv4.ip_forward_update_priority = 1
net.ipv4.ip_forward_use_pmtu = 0
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.mc_forwarding = 0
net.ipv6.conf.default.forwarding = 1
net.ipv6.conf.default.mc_forwarding = 0
net.ipv6.conf.enp4s0.forwarding = 1
net.ipv6.conf.enp4s0.mc_forwarding = 0
net.ipv6.conf.inet.forwarding = 1
net.ipv6.conf.inet.mc_forwarding = 0
net.ipv6.conf.inet6.forwarding = 1
net.ipv6.conf.inet6.mc_forwarding = 0
net.ipv6.conf.lan.forwarding = 1
net.ipv6.conf.lan.mc_forwarding = 0
net.ipv6.conf.lo.forwarding = 1
net.ipv6.conf.lo.mc_forwarding = 0
net.ipv6.conf.sit0.forwarding = 1
net.ipv6.conf.sit0.mc_forwarding = 0
net.ipv6.conf.tap0.forwarding = 1
net.ipv6.conf.tap0.mc_forwarding = 0
net.ipv6.conf.tun0.forwarding = 1
net.ipv6.conf.tun0.mc_forwarding = 0
net.ipv6.conf.tun1.forwarding = 1
net.ipv6.conf.tun1.mc_forwarding = 0
net.ipv6.conf.wg0.forwarding = 1
net.ipv6.conf.wg0.mc_forwarding = 0

Ale jak jsem psal vyse, s uplne stejnou konfiguraci, jen kdyz je ten interface inet6 vytvoren jako 6to4 pomoci sit na he.net, tak vse funguje, takze si myslim, ze tady byt problem nemuze. Uz si vazne zacinam myslet, ze je chyba ve wireguard modulu.

Re:Nefunkční routing na WAN v IPv6
« Odpověď #23 kdy: 14. 12. 2023, 07:43:06 »
Ten ipv6 forwarding si povoloval jak?
Citace
sysctl -w net.ipv6.conf.all.forwarding=1

To dělá Shorewall.

Jo? A mohl bych to videt? Plus rovnou vypis pravidel pro ipv6.

Pokud myslis vypis nastaveni forwardovani, tak vyz vyse.
Jak jsem psal vyse nefunguje to ani kdyz ipv6 pravidla vymazu a vsechno nastavim na ACCEPT, plus jeste ze se stejnym nastavenim je ten inet6 interface dostupny pro klienta pokud je vytvoren pomoci sit namisto wireguard. Takze ve firewallu bych chybu nehledal.
« Poslední změna: 14. 12. 2023, 07:48:16 od waclaw »

Re:Nefunkční routing na WAN v IPv6
« Odpověď #24 kdy: 14. 12. 2023, 12:13:51 »
Může to být něco se síťovým ovladačem Wireguardu, který je v některých ohledech trochu speciální. V každém případě dávat na rozhraní Wireguardu  prefix /64 nedává smysl, v podstatě to říká, že část svého prefixu posíláš zpátky do upstreamu. Doporučuju přidat adresu prefix:1::1 třeba na loopback. nebo jakékoli jiné rozhraní. Ale beztak by v tom neměl být rozdíl v porovnání s tím, když budeš pro server používat adresu prefix::1. Na wireguardovém rozhraní pak nemusíš mít vůbec žádnou adresu.

Re:Nefunkční routing na WAN v IPv6
« Odpověď #25 kdy: 14. 12. 2023, 13:03:59 »
Může to být něco se síťovým ovladačem Wireguardu, který je v některých ohledech trochu speciální. V každém případě dávat na rozhraní Wireguardu  prefix /64 nedává smysl, v podstatě to říká, že část svého prefixu posíláš zpátky do upstreamu. Doporučuju přidat adresu prefix:1::1 třeba na loopback. nebo jakékoli jiné rozhraní. Ale beztak by v tom neměl být rozdíl v porovnání s tím, když budeš pro server používat adresu prefix::1. Na wireguardovém rozhraní pak nemusíš mít vůbec žádnou adresu.

To je můj workaroud, dát celý /48 rozsah třeba na lan rozhraní.
Nicméně problém je tady, že na wg rozhraní serveru se klient nedostane ať má jakoukoliv adresu třeba i jedinou a03:3b40:200::beef.
Taky věřím, že problém bude někde ve wireguardu ovladači.

Mohl by to někdo ověřit? Stačí mít dva stroje, jeden (server) s eth lan (/64 rozsah) a wg wan (jedna adresa nebo jiný /64 rozsah) a druhý stroj (klient), který dostane ip z rozsahu lan serveru. A zkusit z klienta pingnout wg wan rozhraní serveru.

Re:Nefunkční routing na WAN v IPv6
« Odpověď #26 kdy: 14. 12. 2023, 13:49:29 »
To je můj workaroud, dát celý /48 rozsah třeba na lan rozhraní.
To mi připomnělo, že možná stojí za to upozornit všechny majitele IPv6 prefixu, kteří jej routují na obyčejném Linuxu, že je v každém případě rozhodně dobrý nápad nastavit celý prefix jako Unreachable. Jinak veškerý provoz pro nepřidělené podsítě zvoní na poslední míli. (To zní skoro až poeticky :D)

Re:Nefunkční routing na WAN v IPv6
« Odpověď #27 kdy: 14. 12. 2023, 13:53:39 »
Mohl by to někdo ověřit? Stačí mít dva stroje, jeden (server) s eth lan (/64 rozsah) a wg wan (jedna adresa nebo jiný /64 rozsah)
Mám router s OpenWRT, na něm tunel, na jeho rozhraní je adresa prefix:200::XXX/128 a tahle adresa je zcela bez problému pingnutelná z vnitřní sítě používající zcela jiný prefix.

Re:Nefunkční routing na WAN v IPv6
« Odpověď #28 kdy: 14. 12. 2023, 14:49:41 »
Mohl by to někdo ověřit? Stačí mít dva stroje, jeden (server) s eth lan (/64 rozsah) a wg wan (jedna adresa nebo jiný /64 rozsah)
Mám router s OpenWRT, na něm tunel, na jeho rozhraní je adresa prefix:200::XXX/128 a tahle adresa je zcela bez problému pingnutelná z vnitřní sítě používající zcela jiný prefix.

Zajímavé, asi to bude více specifické, možná závislé na verzi wireguard modulu.
Zkoušel jsem ještě OpenVPN interface jak si mi posílal konfiguraci (díky!) a ten je přístupný pro klienta bez problémů.
Zkusím to ještě na Mikrotiku nebo virtualním stroji, ať se vidí, kde je problém.

Re:Nefunkční routing na WAN v IPv6
« Odpověď #29 kdy: 14. 12. 2023, 19:02:27 »
Zkusil jsem uplne cistou Fedoru 39 ve virtualu, uplne to samy, wg wan /128 nedostupny.