ip6tables разрешает трафик IPv6 с OpenVPN через мой VPS

Я установил полностью работоспособную настройку OpenVPN для IPv4 и хотел сделать еще один шаг и экспериментировать с настройкой IPv6. Мой сервер VPS не получает собственный IPv6-блок, но имеет настройку туннельного интерфейса 6in4, предоставляемую компанией Hurricane Electric. Связность IPv6 самого VPS-модуля не вызывает проблем.

Используя / 48, предоставленный компанией Hurricane Electric, я создал из него / 64 подсеть, которая может быть без проблем с экземпляром сервера OpenVPN.

Я установил правильные директивы server-ipv6 и route-ipv6 для маршрутизации всего трафика IPv6 через мой VPS, так же, как и клиенты IPv4. После выполнения traceroute он отвечает на адрес server-ipv6 как первый прыжок, показывая, что шлюз IPv6 теперь является VPS, но после первого прыжка все время отключается.

Проблема заключается в том, что внешний трафик IPv6 блокируется. Я подтвердил, что его межсетевой экран связан с тем, что удаление брандмауэра позволяет завершить трассировку. Я использую ConfigServer Security и Firewall с включенными частями IPv4 и IPv6.

Я не специалист по iptables, но я пробовал эти правила в csfpre.sh без успеха.

ip6tables -A FORWARD -s ROUTED/64 -i tun+ -o sit1 -j ACCEPT ip6tables -A FORWARD -s ROUTED/48 -i tun+ -o sit1 -j ACCEPT 

МАРШРУТНЫЕ заполнители – это подсети, предоставленные моим туннелем Hurricane Electric.

Я уже включил переадресацию IPv6 с помощью:

 net.ipv6.conf.all.forwarding = 1 

Детали VPS:

  • CentOS 6.6 (виртуализация KVM)
  • 2.6.32 Ядро Linux
  • Брандмауэр: CSF (последняя версия)

Интерфейс tun уже исключен из CSF через ETH_DEVICE_SKIP

Сетевые интерфейсы:

  • OpenVPN: tun0 (маршрутизированный)
  • IPv6 Tunnel: sit1 (все настройки и работа)
  • WAN: eth0 (шлюз, внешний интерфейс)

Может ли кто-нибудь помочь с предоставлением правил ip6tables, которые позволят потоку трафика IPv6, исходящему из OpenVPN?

  • IP-адрес удален из сетевого интерфейса, управляемого systemd-networkd
  • Перенаправление портов PPTP
  • Запуск openvpn без привилегий root
  • Найти локальный IP-адрес VPN-клиента
  • Как игнорировать «сертификат еще не действителен»
  • OpenVPN блокирует SMTP-сервер доступа полностью
  • OpenVPN борется
  • Как ограничить клиентов openvpn для связи с другими клиентами vpn
  • One Solution collect form web for “ip6tables разрешает трафик IPv6 с OpenVPN через мой VPS”

    Я выяснил рабочий набор правил брандмауэра, я был на правильном пути, но они нуждались в настройке.

    Использование примерного брандмауэра, предоставляемого SixXS в качестве руководства:

    https://www.sixxs.net/wiki/IPv6_Firewalling#A_more_sophisticated_script_for_IPv6_stateful_firewall

    Я смог обработать эти правила, которые работают и разрешают трафик IPv6. Я добавляю их в файл csfpre.sh

     ip6tables -A FORWARD -m state --state NEW -i tun+ -o sit1 -s ROUTED/64 -j ACCEPT ip6tables -A FORWARD -m state --state NEW -i tun+ -o sit1 -s ROUTED/48 -j ACCEPT ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT 

    Опять же ROUTED / 64 и ROUTED / 48 являются заполнителями моих фактических блоков, предоставленных Hurricane Electric

    (tun + будет охватывать несколько туннельных устройств на сервере)

    Linux и Unix - лучшая ОС в мире.