ip6tables разрешает трафик IPv6 с OpenVPN через мой VPS

Я установил полностью работоспособную настройку OpenVPN для IPv4 и хотел сделать еще один шаг и экспериментировать с настройкой IPv6. Мой сервер VPS не получает собственный IPv6-блок, но имеет настройку туннельного интерфейса 6in4, предоставляемую компанией Hurricane Electric. Связность IPv6 самого VPS-модуля не вызывает проблем.

Используя / 48, предоставленный компанией Hurricane Electric, я создал из него / 64 подсеть, которая может быть без проблем с экземпляром сервера OpenVPN.

Я установил правильные директивы server-ipv6 и route-ipv6 для маршрутизации всего трафика IPv6 через мой VPS, так же, как и клиенты IPv4. После выполнения traceroute он отвечает на адрес server-ipv6 как первый прыжок, показывая, что шлюз IPv6 теперь является VPS, но после первого прыжка все время отключается.

Проблема заключается в том, что внешний трафик IPv6 блокируется. Я подтвердил, что его межсетевой экран связан с тем, что удаление брандмауэра позволяет завершить трассировку. Я использую ConfigServer Security и Firewall с включенными частями IPv4 и IPv6.

Я не специалист по iptables, но я пробовал эти правила в csfpre.sh без успеха.

ip6tables -A FORWARD -s ROUTED/64 -i tun+ -o sit1 -j ACCEPT ip6tables -A FORWARD -s ROUTED/48 -i tun+ -o sit1 -j ACCEPT 

МАРШРУТНЫЕ заполнители – это подсети, предоставленные моим туннелем Hurricane Electric.

Я уже включил переадресацию IPv6 с помощью:

 net.ipv6.conf.all.forwarding = 1 

Детали VPS:

  • CentOS 6.6 (виртуализация KVM)
  • 2.6.32 Ядро Linux
  • Брандмауэр: CSF (последняя версия)

Интерфейс tun уже исключен из CSF через ETH_DEVICE_SKIP

Сетевые интерфейсы:

  • OpenVPN: tun0 (маршрутизированный)
  • IPv6 Tunnel: sit1 (все настройки и работа)
  • WAN: eth0 (шлюз, внешний интерфейс)

Может ли кто-нибудь помочь с предоставлением правил ip6tables, которые позволят потоку трафика IPv6, исходящему из OpenVPN?

  • Ethernet-мостовой сервер OpenVPN не принимает соединения извне
  • Маршрутный трафик OpenVPN IPv6 через сервер
  • Linux Mint 17.1 Rebecca - «импорт из файла» при настройке VPN
  • OpenVPN «ломает» мой локальный DNS вниз
  • отладка iptables при туннелировании одной VPN через другую
  • systemd и OpenVPN после обновления Ubuntu
  • Подключение с сервера OpenVPN к серверу MySQL
  • Открытый HTTP / HAProxy-сервер также представляет собой VPN ... должен ли он делать оба?
  • One Solution collect form web for “ip6tables разрешает трафик IPv6 с OpenVPN через мой VPS”

    Я выяснил рабочий набор правил брандмауэра, я был на правильном пути, но они нуждались в настройке.

    Использование примерного брандмауэра, предоставляемого SixXS в качестве руководства:

    https://www.sixxs.net/wiki/IPv6_Firewalling#A_more_sophisticated_script_for_IPv6_stateful_firewall

    Я смог обработать эти правила, которые работают и разрешают трафик IPv6. Я добавляю их в файл csfpre.sh

     ip6tables -A FORWARD -m state --state NEW -i tun+ -o sit1 -s ROUTED/64 -j ACCEPT ip6tables -A FORWARD -m state --state NEW -i tun+ -o sit1 -s ROUTED/48 -j ACCEPT ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT 

    Опять же ROUTED / 64 и ROUTED / 48 являются заполнителями моих фактических блоков, предоставленных Hurricane Electric

    (tun + будет охватывать несколько туннельных устройств на сервере)

    Interesting Posts

    Как правильно экспортировать и импортировать общие ресурсы NFS, которые также имеют подкаталоги в качестве точек монтирования?

    Можете ли вы изменить учетные записи почты получателем в mutt?

    bash не может хранить hexvalue 0x00 в переменной

    Как монтировать / usr во время загрузки без initramf?

    Сохранить вывод команды, которая изменяет среду в переменную

    Как настроить systemd, чтобы включить простой скрипт с помощью стандартногоIO в сетевой службе

    Поиск пароля root

    Сохранены ли настройки браузера (firefox) / пароли при обновлении Ubuntu 14.04 до 16.04?

    Как установить VTK (с Python Wrapper) на Red Hat Enterprise Linux (RHEL)

    Установить установленную систему в файл tar.gz

    Что означает newermt в команде find?

    Что такое хороший терминал X не из основной среды окна?

    Как узнать, какие файлы будут включены в ядро ​​linux, прежде чем я его создам?

    Linux не распознает Fake-RAID 0

    Раздражающее сообщение на каждом открытии терминала в новой учетной записи пользователя

    Linux и Unix - лучшая ОС в мире.