update (nog geen fix) Re: krijg Wireguard niet naar verwachting aan de gang met IPv6
Goedenmorgen!
Tijd voor een update. Er zit een (klein) beetje schot in, maar ik ben er
nog niet.
/me veegt lei schoon, huidige configuratie onderaan.
Vraag: Hoe tover ik op de wireguard server informatie tevoorschijn die
toont waarom het IPv6 verkeer stopt bij de server. Iemand suggesties?
Tips zijn (zeer) welkom!
A) IPv4 lijkt het te doen.
Met ping4 kom ik voorbij de server. En, ik kan (als voorbeeld) met ssh
-4 een-vriend@shell.xs4all.nl bereiken, en dan toont het me dat ik kom
vanaf 144.76.204.189, zoals de bedoeling is.
Mijn conclusie: masquerading werkt, en de firewalld doet zijn werk. Voor
IPv4.
b) IPv6 gaat gedeeltelijk goed.
Zowel client en server kan ik nu heen en weer met ping6 bereiken. Maar
ik kom niet vanaf de client voorbij de server, niet met ping6, maar ook
niet met ssh. Bijvoorbeeld
ssh -6 weer-die-vriend@shell.xs4all.nl
(knip)
debug1: Connecting to shell.xs4all.nl [2001:888:0:1::9] port 22.
en dan stilte, tot ik ^C doe.
De configuratie van de client - let op, er staan twee mogelijke IPv[4,6]
reeksen, ze doen het beiden (niet tegelijk, uiteraard).
,----
| [Interface]
| Address= 10.93.15.2/24, fc80::b85f:d925:971e:110f/64
| # een alternatief, werkt ook: Address = 10.66.66.2/24,fd42:42:42::2/64
| PrivateKey = <privatekey>
|
| [Peer]
| PublicKey = P3GrgaFCxj6gc6CnOUPo8vxBtKaOcKa7wa8LoL1oUl0=
| Endpoint = [2a01:4f8:200:546b::9e15:1]:51820
| AllowedIPs = 0.0.0.0/0, ::/0
| PersistentKeepalive = 25
`----
en die van de server:
,----
| Interface]
| Address = 10.93.15.1/24, fc80::b85f:d925:971e:109f/64
| # alternatief, ook goed: Address = 10.66.66.1/24,fd42:42:42::1/64
| PrivateKey = <privatekey>
| ListenPort = 51820
|
| [Peer]
| PublicKey = nRwfI98C+AFDaLZuaF1i7YWrj7yQDHrQO07XvivGn2U=
| # alternatief: AllowedIPs = 10.66.66.2/32,fd42:42:42::2/128
| AllowedIPs = 10.93.15.2/32, fc80::b85f:d925:971e:110f/128
`----
In de spaarzame vrije tijd heb ik van alles nagelopen.
Ik heb bijvoorbeeld last van een kernel oops, getrigged door
ip4/ip_forward, de logs roepen dan: "netdevice: eth0: failed to disable
LRO!:
Daar wordt aan gewerkt:
https://www.mail-archive.com/virtualization@lists.linux-foundation.org/msg48170.html
Ik kan niet zien of het iets met IPv6 forwarding te maken heeft.
Dan spelde ik https://wiki.debian.org/NetworkConfiguration: mist mijn
static configured ethernet device (die van de oops) soms "accept_ra 2"
(ik begrijp het helaas nog niet helemaal)
sysctl net.ipv6.conf.all.accept_ra=2 getest
Maar het maakt voor WireGuard niets uit.
Ik zie ook /niets/ relevants in de logs (mezelf kennende zal het er toch
wel staan).
Hier een paar van de huidige IPv6 instellingen op de server:
sysctl -a | grep -E 'ipv6.*\.(forwarding|accept_ra) ='
net.ipv6.conf.all.accept_ra = 1
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.default.accept_ra = 1
net.ipv6.conf.default.forwarding = 1
net.ipv6.conf.eth0.accept_ra = 0
net.ipv6.conf.eth0.forwarding = 1
net.ipv6.conf.lo.accept_ra = 1
net.ipv6.conf.lo.forwarding = 1
net.ipv6.conf.wg0.accept_ra = 1
net.ipv6.conf.wg0.forwarding = 1
Waarom doe ik al die moeite om Wireguard ook via IPv6 te doen? Tja: ik
wil het gewoon in orde hebben, het is net als het strijken van je
overhemden. In België wordt IPv6 gewoon goed ondersteund, het werkt goed
op mijn LAN, het doet het uitstekend in Debian. WireGuard kan het, dus
waarom zou ik het niet doen?
op de server:
ip -6 route
,----
| ::1 dev lo proto kernel metric 256 pref medium
| 2a01:4f8:200:546b::/64 dev eth0 proto kernel metric 256 pref medium
| fd42:42:42::/64 dev wg0 proto kernel metric 256 pref medium
| fe80::/64 dev eth0 proto kernel metric 256 pref medium
| default via 2a01:4f8:200:546b::3 dev eth0 metric 1024 onlink pref medium
`----
Mij valt op dat ssh -6 hierboven wel weet welk IP address ie moet
hebben.
/etc/resolf.conf op de server (wg0 is up)
nameserver 2606:4700:4700::1111
nameserver 1.1.1.1
op de client (wg0 is eveneens up)
search home
nameserver 192.168.1.1
dank voor de aandacht!
Reply to: