ip6tables разрешает трафик IPv6 с OpenVPN через мой VPS

Я установил полностью работоспособную настройку OpenVPN для IPv4 и хотел сделать еще один шаг и экспериментировать с настройкой IPv6. Мой сервер VPS не получает собственный IPv6-блок, но имеет настройку туннельного интерфейса 6in4, предоставляемую компанией Hurricane Electric. Связность IPv6 самого VPS-модуля не вызывает проблем.

Используя / 48, предоставленный компанией Hurricane Electric, я создал из него / 64 подсеть, которая может быть без проблем с экземпляром сервера OpenVPN.

Я установил правильные директивы server-ipv6 и route-ipv6 для маршрутизации всего трафика IPv6 через мой VPS, так же, как и клиенты IPv4. После выполнения traceroute он отвечает на адрес server-ipv6 как первый прыжок, показывая, что шлюз IPv6 теперь является VPS, но после первого прыжка все время отключается.

Проблема заключается в том, что внешний трафик IPv6 блокируется. Я подтвердил, что его межсетевой экран связан с тем, что удаление брандмауэра позволяет завершить трассировку. Я использую ConfigServer Security и Firewall с включенными частями IPv4 и IPv6.

Я не специалист по iptables, но я пробовал эти правила в csfpre.sh без успеха.

ip6tables -A FORWARD -s ROUTED/64 -i tun+ -o sit1 -j ACCEPT ip6tables -A FORWARD -s ROUTED/48 -i tun+ -o sit1 -j ACCEPT 

МАРШРУТНЫЕ заполнители – это подсети, предоставленные моим туннелем Hurricane Electric.

Я уже включил переадресацию IPv6 с помощью:

 net.ipv6.conf.all.forwarding = 1 

Детали VPS:

  • CentOS 6.6 (виртуализация KVM)
  • 2.6.32 Ядро Linux
  • Брандмауэр: CSF (последняя версия)

Интерфейс tun уже исключен из CSF через ETH_DEVICE_SKIP

Сетевые интерфейсы:

  • OpenVPN: tun0 (маршрутизированный)
  • IPv6 Tunnel: sit1 (все настройки и работа)
  • WAN: eth0 (шлюз, внешний интерфейс)

Может ли кто-нибудь помочь с предоставлением правил ip6tables, которые позволят потоку трафика IPv6, исходящему из OpenVPN?

One Solution collect form web for “ip6tables разрешает трафик IPv6 с OpenVPN через мой VPS”

Я выяснил рабочий набор правил брандмауэра, я был на правильном пути, но они нуждались в настройке.

Использование примерного брандмауэра, предоставляемого SixXS в качестве руководства:

https://www.sixxs.net/wiki/IPv6_Firewalling#A_more_sophisticated_script_for_IPv6_stateful_firewall

Я смог обработать эти правила, которые работают и разрешают трафик IPv6. Я добавляю их в файл csfpre.sh

 ip6tables -A FORWARD -m state --state NEW -i tun+ -o sit1 -s ROUTED/64 -j ACCEPT ip6tables -A FORWARD -m state --state NEW -i tun+ -o sit1 -s ROUTED/48 -j ACCEPT ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT 

Опять же ROUTED / 64 и ROUTED / 48 являются заполнителями моих фактических блоков, предоставленных Hurricane Electric

(tun + будет охватывать несколько туннельных устройств на сервере)

  • Изменение пароля в файле конфигурации OpenVPN
  • Передача голоса по IP с помощью VPN
  • VPS, VPN и политическая маршрутизация в Linux
  • Как не проходить через туннель openvpn для определенного порта
  • Сервер openvpn не использует NAT входящий трафик
  • Открытое поведение OpenVPN
  • Получить адрес и устройство, назначенные openvpn
  • Запуск команды после подключения моего клиента OpenVPN
  • Как настроить сервер OpenVPN на pfsense
  • Настройка маршрутизатора openvpn на малине pi
  • Shorewall для защиты интерфейсов, которые еще не определены
  • Linux и Unix - лучшая ОС в мире.