ip6tables は、VPS 経由の OpenVPN の IPv6 トラフィックを許可します。

ip6tables は、VPS 経由の OpenVPN の IPv6 トラフィックを許可します。

私は完全に動作するIPv4 OpenVPN設定を設定し、さらに一歩進んでIPv6設定を試したかったのです。私のVPSサーバーにはローカルIPv6ブロックはありませんが、Hurricane Electricが提供する6in4トンネルインターフェイス設定があります。 VPSボックス自体へのIPv6接続はすべて大丈夫です。

Hurricane Electricが提供する/ 48を使用して、OpenVPNサーバーインスタンスが問題なく使用できる/ 64サブネットを作成しました。

IPv4 クライアントのように、VPS を介してすべての IPv6 トラフィックをルーティングするために、正しい server-ipv6 および Route-ipv6 ディレクティブが設定されています。トレースパスを実行した後、サーバーの ipv6 アドレスを最初のホップで応答し、IPv6 ゲートウェイが VPS になりましたが、最初のホップ以降すべてがタイムアウトすることを示します。

問題は、外部IPv6トラフィックがブロックされることです。ファイアウォールを削除するとトレースパスが完了するため、ファイアウォールに関連していることを確認しました。 IPv4およびIPv6部分が有効になっているConfigServerセキュリティとファイアウォールを使用しています。

私はiptablesの専門家ではありませんが、csfpre.shでこれらのルールを試しましたが、成功しませんでした。

ip6tables -A FORWARD -s ROUTED/64 -i tun+ -o sit1 -j ACCEPT
ip6tables -A FORWARD -s ROUTED/48 -i tun+ -o sit1 -j ACCEPT

ROUTEDプレースホルダーはHurricane Electricトンネルによって提供されるサブネットです。

IPv6転送を有効にしました。

net.ipv6.conf.all.forwarding = 1

VPSの詳細:

  • CentOS 6.6(KVM仮想化)
  • 2.6.32 Linuxカーネル
  • ファイアウォール:CSF(最新バージョン)

tun インターフェイスは ETH_DEVICE_SKIP を介して CSF から除外されました。

ネットワークインターフェース:

  • OpenVPN: tun0(ルーティング)
  • IPv6トンネル:sit1(すべての設定と動作中)
  • WAN:eth0(ゲートウェイ、外部インターフェイス)

OpenVPNで発生するIPv6トラフィックを許可するip6tablesルールを提供するのに役立つ人はいますか?

答え1

動作する一連のファイアウォールルールを見つけ、正しい方向に行きますが、少し調整する必要があります。

SixXSが提供するファイアウォールの例をガイドとして使用してください。

https://www.sixxs.net/wiki/IPv6_Firewalling#A_more_sophisticated_script_for_IPv6_stateful_firewall

私は動作し、IPv6トラフィックを許可するこれらのルールを作成できました。これを私のcsfpre.shファイルに追加しました。

ip6tables -A FORWARD -m state --state NEW -i tun+ -o sit1 -s ROUTED/64 -j ACCEPT
ip6tables -A FORWARD -m state --state NEW -i tun+ -o sit1 -s ROUTED/48 -j ACCEPT
ip6tables -A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

繰り返しますが、ROUTED / 64とROUTED / 48はHurricane Electricが提供する実際のブロックのプレースホルダーです。

(tun+にはサーバー上の複数のtunデバイスが含まれています)

関連情報