Обзор

Я полагаю, что в учебнике не учтены некоторые очень важные моменты, касающиеся работы IPv6 внутри VPN. Я попытаюсь объяснить сложность ниже. Но для начала я укажу, что существует три основных подхода к выполнению этой работы:

1. Создайте TAP VPN и подключите его к вашей сети Ethernet(см. руководство).
2. Назначьте локальный блок IPv6-адресов сайта для вашей VPN (, например,FEC0::/64)и настройте ваш VPN-сервер в качестве шлюза IPv6 NAT .
3. Назначьте глобальный блок адресов IPv6 в Интернете для вашей VPN и настройте маршрутизатор вашего сервера для перенаправления трафика на него.

Создание TAP VPN с мостом

Это решение имеет наименьшее количество ошибок, оно должно быть простым, чтобы следовать руководствам из Интернета. У него есть обратная сторона производительности, заключающаяся в том, что VPN придется отправлять заголовки пакетов и широковещательные пакеты, чего нельзя было бы сделать с TUN VPN.

Назначить локальный блок IPv6-адресов сайта

Это менее стандартно, но должно работать. Клиенты будут видны в Интернете как имеющие IP-адрес вашего VPN-сервера. Однако, будучи менее стандартным, у вас меньше шансов найти помощь в том, что пошло не так, если вы не можете заставить это работать.

Назначение глобальной блокировки IPv6 для вашей VPN

Для этого у вас должен быть резервный блок IPv6/64, выделенный вашим интернет-провайдером.

Если ваш сервер находится в облаке (, например, на AWS ), вам может не повезти; AWS по умолчанию выделяет блок /56, поэтому вы можете легко выделить блок /64 из него для своей VPN.

Если ваш VPN-сервер находится дома или в офисе, вам может повезти меньше, поскольку некоторые интернет-провайдеры выделяют только один блок /64.

Вам также потребуется настроить маршрутизатор вашего сервера для отправки всего входящего трафика для вашей подсети VPN на ваш VPN-сервер.

Почему это сложно?

IPv6 отличается

В IPv4 обычно используется частный IP-адрес, а затем доступ в Интернет через NAT-шлюз . Например, ваш домашний маршрутизатор будет иметь один общедоступный IPv4-адрес, и каждое устройство на вашем домашнем Wi-Fi (ноутбуке, телефонах и т. д. )будет иметь локальный IPv4-адрес. Когда какое-либо из этих устройств выходит в Интернет, ваш домашний маршрутизатор заменяет локальный IP-адрес вашего устройства собственным общедоступным IP-адресом.

Шлюзы NAT редко используются с IPv6, хотя они все еще возможны .

Вместо этого каждое устройство в вашей локальной сети настроено на собственный глобальный IPv6-адрес. Вашей локальной сети (, например, вашему домашнему Wi-Fi )назначен (по крайней мере )целый 64-битный блок адресов. Однако общий совет заключается в том, что 64-битный блок является наименьшим, который вы должны использовать, иначе некоторые вещи могут перестать работать .

Почему это относится к VPN?

TUN VPN — это собственная сеть (подсеть ), поэтому для нее требуется собственное выделение адресов IPv6. Если ваш интернет-провайдер выделил вам большой блок (, например, блок /56 ), вы можете просто назначить VPN собственный блок /64 из него. Однако интернет-провайдеры нередко выделяют только один блок /64,это означает, что у вас есть только один, вам нужно два .

Как я уже сказал. Вы можете разделить блок /64 на два блока /63, но вы делаете это на свой страх и риск. По крайней мере, вы не сможете использовать «автоконфигурацию» с блоком /63.

Что еще хитрее?

Когда ваш сервер ведет себя как шлюз NAT (как с IPv4 ), нет необходимости настраивать маршрутизатор вашего сервера с какой-либо информацией о вашей VPN. Это связано с тем, что каждый VPN-клиент отображается в сети вашего сервера как имеющий тот же IP-адрес, что и сервер, поэтому маршрутизатор просто отправляет весь трафик для VPN-клиентов на сервер и позволяет серверу разобраться...

... но без NAT у ваших VPN-клиентов есть собственный IP-адрес, и он даже не будет находиться в подсети, которую маршрутизатор понимает по умолчанию. Таким образом, вы должны настроить маршрут на маршрутизаторе для отправки трафика из подсети VPN на сервер VPN.