OpenVPN over teredo

0

1

Всем привет.

Может хочу странного, но я на малинке поднял OpenVPN с tor proxy, и ещё по мелочи для просмотра в инете того, что хочу я, а не ркн. А ещё у меня есть удаленный маленький сервачок на нем тоже есть OpenVPN. Но самый гуманный суд блокирнул тупо подмётку хостер у которого я имею сераачок и я к сервачку могу подключиться только по ipv6. А провайдер покусан Гейтсом в том плане, что заявляет ipv6 не нужен и хрен вы его получите физики. То есть на малинку поставил miredo и на малинке ipv6 доступно.

И тут вишенка на торт, я хочу через teredo клиентом с малинки цепляться на OpenVPN на удаленном серваке, с прочих клиентов цепляться к малинке и чтоб как то пакеты летали между двумя сетками, но как это вместе сколхозить не пойму.

К OpenVPN на малинке цепляюсь получаю Сеть 10.8.0.0 и пингую один хост с другого и наоборот. Ну и маршрут по умолчанию на какойнить реальный интерфейс. А вот при подключении к удаленному ВПН я получаю на клиенте адрес из сети 10.8.1.0 но там даже 10.8.1.1 с клиента не пингуется.

Малинка за роутером на ее настроен dmz на роутере, то есть все что на внешний адрес извне приходит транслируется на малинку, файрвол открывает три порта один из которых для ВПН.

В общем реально такую задачу решить? И если да, то как?

Гуглил, но найденные рецепты не подошли, там либо проброс ipv6 поверх ipv4, либо у меня не сработал рецепт.

Заранее спасибо за помощь подсказку или тыканье носом куда копать

Ссылка

←	Автоматическое убийство процесса через Htop и выполнение команды после

DHCP server и три сетевые

→

А вот при подключении к удаленному ВПН я получаю на клиенте адрес из сети 10.8.1.0 но там даже 10.8.1.1 с клиента не пингуется.

Это вы про тунель «малинка»<->«удалённый сервер»? С этим тунелем не должно быть проблем «proto udp6», а остальное как для ipv4. Показывайте конфиги клинта/сервера.

mky ★★★★★
(24.02.20 01:40:06 MSK)

Ответ на: комментарий от mky 24.02.20 01:40:06 MSK

На удаленном сервере конфигурации аналогичен тому, что в локалке. Но в локалке работает.

local 127.0.0.1
port 1194
proto tcp
dev tap
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet

server 10.8.1.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "redirect-gateway def1 bypass-dhcp"
push "dhcp-option DNS 208.67.222.222"
push "dhcp-option DNS 208.67.220.220"

#server-ipv6 fd42:42:42:42::/112
#tun-ipv6
#push tun-ipv6
#push "route-ipv6 2001::/32"
#push "redirect-gateway ipv6"

keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
status openvpn-status.log
verb 3
crl-verify crl.pem

local 127.0.0.1 потому, что по факту opevpn за sslh прячется, но вот в случае малинки оно работает. А вот когда конектишся к удаленной машине, там вначале на ipv6 адрес на порт sslh потом он коннектиться уже на 127.0.0.1:1194 коннектится. На малинке все аналогично, разница что вначале на ipv4 адрес коннектишся. Еще симптом после обрыва подключения к удаленной sslh->openvpn на локальной машине деактивируется teredo интерфейс

fr0ster
(26.02.20 15:27:45 MSK) автор топика

Ответ на: комментарий от fr0ster 26.02.20 15:27:45 MSK

Опция:

push «redirect-gateway def1 bypass-dhcp»

отрабатывает? По симптомам, похоже, что отрабатывает, поэтому и teredo падает.

mky ★★★★★
(26.02.20 15:57:14 MSK)

Ответ на: комментарий от mky 26.02.20 15:57:14 MSK

Да, походу это я протупил, не подумал, что тередо это туннель. Вот тогда как маршрутизацию вкорячить? Как-то добавить особый маршрут для тередо? А как?

fr0ster
(26.02.20 16:04:19 MSK) автор топика

Ответ на: комментарий от fr0ster 26.02.20 16:04:19 MSK

Ну, либо определить ipv4 адреса куда обращается miredo и вбить для каждого из них маршрут черер шлюз (роутер), либо PBR (policy based routing) — две таблицы маршрутизации. В одной таблице default через шлюз (роутер), а во второй через тунель на сервер. Пакеты раскдывать по таблицам либо маркируя (udp порт 3544 == teredo), либо по src-адресу 10.8.0.x.

Для начала можно запустить tcpdump и посмотреть на какой адрес идут пакеты udp порт 3544, добавить для этого адреса маршрут и проверить, будет ли работать openvpn тунель на сервер (пинговаться 10.8.1.1).

mky ★★★★★
(26.02.20 17:43:12 MSK)

Ответ на: комментарий от mky 26.02.20 17:43:12 MSK

В общем проблема понятна, при подключении к OpenVPN неверная маршрутизация ломает туннель на IPv6.

Решил не заморачиваться с хитрой маршрутизацией, просто вынести туннель на отдельную малинку, точнее оставить на отдельной малинке, тогда с других машин подключение будет работать корректно, а с самой малинки можно прописать и хитрый маршрут на туннельный сервер.

Вечером проверю идею, во всяком случае доступ к IPv6 с других машин заработал(с тех, что через OpenVPN подключились тоже работает доступ в будущее 😺)

fr0ster
(27.02.20 11:53:06 MSK) автор топика