Как сделать ipv6 с wireguard и openwrt?

А вам оно вообще надо?

Ну если бы не надо было, то не спрашивал бы. Логично же)

Неа, не логично, многие настраивают исключительно «что бы было», а потом начинают страдать на тему «у меня сайтик с любимыми котиками не открывается».

Ну вот мне для того что бы сайтик как раз таки открывался

У сайтика нет v4 ? Он v6 only чтоли ?

Ну очевидно, что на компе ipv4 - 0/0 заворачивается в wireguard, а ipv6 - 0/0 ходит напрямую, у тебя провайдерская поддержка slaac и все норм. А вот на роутере все совсем не так. Здесь проблема.

На v6 only. Один заблочен ркн ipv4, по ipv6 доступен

Это как то можно фиксануть?

ну погугли как в openwrt ipv6 включить.

я гуглил, если бы я нашел то, я бы не пришел сюда.

https://openwrt.org/docs/guide-user/network/ipv6/configuration

Так у меня провайдер не дает ipv6 что мне настраивать? Мне нужно без провайдерского ipv6 настроить тунель через wireguard

Епт, тогда конфиг wireguard в студию. Но на правду это непохоже, т.к. для slaac надо /64 пробросить в туннель, что, очевидно, не в ваших широтах понимания.

Конфиг сервера

[Interface]

PrivateKey = remove
Address = 10.1.1.1/24, fd1::1/64
ListenPort = 6969

PostUp = iptables -A FORWARD -i ens3 -o wg0 -j ACCEPT; iptables -A FORWARD -i wg0 -j ACCEPT; iptables -t nat -A POSTROUTING -o ens3 -j MASQUERADE; ip6tables -A FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -A POSTROUTING -o ens3 -j MASQUERADE; iptables -A FORWARD -p tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
PostDown = iptables -D FORWARD -i ens3 -o wg0 -j ACCEPT; iptables -D FORWARD -i wg0 -j ACCEPT; iptables -t nat -D POSTROUTING -o ens3 -j MASQUERADE; ip6tables -D FORWARD -i wg0 -j ACCEPT; ip6tables -t nat -D POSTROUTING -o ens3 -j MASQUERADE

# Peers

# ПК
[Peer]
PublicKey = remove
PresharedKey = remove
AllowedIPs = 10.1.1.2/32, fd1::2/128
PersistentKeepalive = 25

# Мобила
[Peer]
PublicKey = remove
PresharedKey = remove
AllowedIPs = 10.1.1.3/32, fd1::3/128
PersistentKeepalive = 25

# Ноут
[Peer]
PublicKey = remove
PresharedKey = remove
AllowedIPs = 10.1.1.4/32, fd1::4/128
PersistentKeepalive = 25

# Роутер
[Peer]
PublicKey = remove
PresharedKey = remove
AllowedIPs = 10.1.1.5/32, fd1::5/128
PersistentKeepalive = 25

# Планшет
[Peer]
PublicKey = remove
PresharedKey = remove
AllowedIPs = 10.1.1.6/32, fd1::6/128
PersistentKeepalive = 25

Конфиг на роутере

[Interface]

PrivateKey = remove
Address = 10.1.1.5/32, fd1::5/128

DNS = 10.1.1.1, fd1::1

[Peer]
PublicKey = remove
Endpoint = xxx.xxx.xxx.xxx:6969
AllowedIPs = 0.0.0.0/0, ::/0
PresharedKey = remove
PersistentKeepalive = 25

Dns такие потому что на vps стоит еще unbound С таким конфингом на всех устройствах все работает, и v4 и v6

В первую очередь снимаю шляпу. Но, как я и угадал:

# Роутер
[Peer]
PublicKey = remove
PresharedKey = remove
AllowedIPs = 10.1.1.5/32, fd1::5/128
PersistentKeepalive = 25

не будет работать. надо /64

Это правиться? Или это зависит от vps?

Это правится, надо всю /64 выдать на итерфейс сервера (адрес) и в allowedips пирам выдать подсеть /64. Второй вариант с dhcp6 тебе вообще непонравится.

Ну на интерфейсе сервера как я понимаю у меня и так fd1::1/64 а пиру роутера только что заменил fd1::5/128 на fd1::5/64 Это не сработало. Или надо всем пирам на /64 заменить?

allowedips - не адрес. fd1::/64 и почитай про slaac. И вообще, /32 в ipv4 натуральный идиотизм. Надо /30 и тогда будет канонично.

Ох как все сложно то. Хочется один раз настроить и забыть :D Ладненько завтра, точнее уже сегодня попробую.

Пиры перекрываться будут.

Вообще ОПу можно настроить ipv6 nat на роутере и всё будет збс, если белые адреса не нужны (судя по fd1:: все равно серый)

Котики отлично по ipv6 открываются, если у вас не открываются, то, вероятно, у вашего котика лапки не из того места растут.

Так fd1: это рандомно придуманный адрес. Внутренний для локалки как и 10.1.1.1. Подскажите как настроить nat?

Никто не спорит что лапки из нужного места :D

Не слушай, никакого nat для ipv6 не надо. Как минимум, это сломает slaac и будешь ручками корячить адреса, что само по себе дичь.

Сам не знаю, но сделал бы так сначала.

# Конфиг на роутере
Address = 10.1.1.5/24, fd1::5/64
[Peer] # sv
AllowedIPs = 10.1.1.1/32, fd1::1/128, 0.0.0.0/0, 2000::/3

А потом проверил бы брандмауэр и sysctl и маршруты.

Это править именно на роутере? или на серваке? Если на роутере, не совсем понимаю зачем AllowedIPs = 10.1.1.1/32, fd1::1/128, 0.0.0.0/0, 2000::/3 Если эта строчка отвечает за то, что отправлять в тунель. 0.0.0.0/0 и ::/0 у меня стоит что бы весь трафик отправлялся через тунель wg

На роутере, вам же с роутера, через сервер. Строка AllowedIP такая из моих предпочтений прост.

Стоит настроенный WireGuard на VPS с подключенным ipv6. На каждом устройстве дома стоит настроенный клиент.

Роутер - ширпотребный TP-Link, в процессе никак не задействован, кроме раздачи интернета. Провайдер ipv6 не выдаёт и не собирается.

Брат жив. Белые ipv4/6 в наличии.

Ну попробую. Ну мне надо что бы на роутере был впн как по v4 так и v6

Ну в данный момент и у меня так через приложуху работает ipv4/6. Но я хочу избавиться от клиентов на каждом устройстве. И установить один единственный клиент на openwrt что бы был как v4 и так и v6 Но в данный момент работает только ipv4

Вообще так же, как с ipv4

ip6tables -t nat -A POSTROUTING -o (wan) -j MASQUERADE

Ничего не сломает, slaac (radvd) можно анонсировать и приватный префикс

на новых прошивках уже нет iptables, там nftables

Кстати заметил такую вещь. Если подключить по ssh и пингануть ping -6 ipv6.google.com все ок. Но если пингануть ping -6 google.com то это уже не работает

Щя снова проверил, по сам роутер получает ipv6 и пингуется ping -6 ipv6.google.com ping -6 google.com

Попробуй еще, если ПК к роутеру подключен без впн и на нем не работает

# Конфиг сервера
Address = 10.1.1.1/24, fd1::1/64
# Роутер
[Peer]
AllowedIPs = 10.1.1.5/32, fd1::5/128, fd1::5:0/112

На интерфейсе ПК добавь адрес fd1::5:2/64
На локальном интерфейсе роутера fd1::5:1/112

И на роутере wg fd1::5:1/64

# Конфиг на роутере
Address = 10.1.1.5/24, fd1::5/64, fd1::5:1/64
[Peer] # sv
AllowedIPs = 10.1.1.1/32, fd1::1/128, 0.0.0.0/0, 2000::/3

Так и на роутер пропадает ipv6

Наткнулся на вот такую инструкцию. https://overclockers-ru.turbopages.org/overclockers.ru/s/blog/Indigo81/show/30877/wireguard-openwrt-unbound-divnyj-novyj-mir-vpn

Пытаюсь по мней настроить, но все равно не выходит. Отсюда взял только часть по настройке тунля, без выборочной маршрутизации. Как мне кажется в эту сторону надо копать.

Один заблочен

Вы проверяли, он как следует заблочен, или https-dns + пара правил iptables его разблочат?

Проверял

Yggdrasil.

В общем долго я решал этот же вопроси решил https://4pda.to/forum/index.php?showtopic=911457&view=findpost&p=123974607