私は完全に動作するIPv4 OpenVPN設定を設定し、さらに一歩進んでIPv6設定を試したかったのです。私のVPSサーバーにはローカルIPv6ブロックはありませんが、Hurricane Electricが提供する6in4トンネルインターフェイス設定があります。 VPSボックス自体へのIPv6接続はすべて大丈夫です。
Hurricane Electricが提供する/ 48を使用して、OpenVPNサーバーインスタンスが問題なく使用できる/ 64サブネットを作成しました。
IPv4 クライアントのように、VPS を介してすべての IPv6 トラフィックをルーティングするために、正しい server-ipv6 および Route-ipv6 ディレクティブが設定されています。トレースパスを実行した後、サーバーの ipv6 アドレスを最初のホップで応答し、IPv6 ゲートウェイが VPS になりましたが、最初のホップ以降すべてがタイムアウトすることを示します。
問題は、外部IPv6トラフィックがブロックされることです。ファイアウォールを削除するとトレースパスが完了するため、ファイアウォールに関連していることを確認しました。 IPv4およびIPv6部分が有効になっているConfigServerセキュリティとファイアウォールを使用しています。
私はiptablesの専門家ではありませんが、csfpre.shでこれらのルールを試しましたが、成功しませんでした。
ip6tables -A FORWARD -s ROUTED/64 -i tun+ -o sit1 -j ACCEPT
ip6tables -A FORWARD -s ROUTED/48 -i tun+ -o sit1 -j ACCEPT
ROUTEDプレースホルダーはHurricane Electricトンネルによって提供されるサブネットです。
IPv6転送を有効にしました。
net.ipv6.conf.all.forwarding = 1
VPSの詳細:
- CentOS 6.6(KVM仮想化)
- 2.6.32 Linuxカーネル
- ファイアウォール:CSF(最新バージョン)
tun インターフェイスは ETH_DEVICE_SKIP を介して CSF から除外されました。
ネットワークインターフェース:
- OpenVPN: tun0(ルーティング)
- IPv6トンネル:sit1(すべての設定と動作中)
- WAN:eth0(ゲートウェイ、外部インターフェイス)
OpenVPNで発生するIPv6トラフィックを許可するip6tablesルールを提供するのに役立つ人はいますか?
ベストアンサー1
動作する一連のファイアウォールルールを見つけ、正しい方向に行きますが、少し調整する必要があります。
SixXSが提供するファイアウォールの例をガイドとして使用してください。
https://www.sixxs.net/wiki/IPv6_Firewalling#A_more_sophisticated_script_for_IPv6_stateful_firewall
私は動作し、IPv6トラフィックを許可するこれらのルールを作成できました。これを私のcsfpre.shファイルに追加しました。
ip6tables -A FORWARD -m state --state NEW -i tun+ -o sit1 -s ROUTED/64 -j ACCEPT
ip6tables -A FORWARD -m state --state NEW -i tun+ -o sit1 -s ROUTED/48 -j ACCEPT
ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT
繰り返しますが、ROUTED / 64とROUTED / 48はHurricane Electricが提供する実際のブロックのプレースホルダーです。
(tun+にはサーバー上の複数のtunデバイスが含まれています)