Goedenmorgen! Tijd voor een update. Er zit een (klein) beetje schot in, maar ik ben er nog niet.
/me veegt lei schoon, huidige configuratie onderaan. Vraag: Hoe tover ik op de wireguard server informatie tevoorschijn die toont waarom het IPv6 verkeer stopt bij de server. Iemand suggesties? Tips zijn (zeer) welkom! A) IPv4 lijkt het te doen. Met ping4 kom ik voorbij de server. En, ik kan (als voorbeeld) met ssh -4 een-vri...@shell.xs4all.nl bereiken, en dan toont het me dat ik kom vanaf 144.76.204.189, zoals de bedoeling is. Mijn conclusie: masquerading werkt, en de firewalld doet zijn werk. Voor IPv4. b) IPv6 gaat gedeeltelijk goed. Zowel client en server kan ik nu heen en weer met ping6 bereiken. Maar ik kom niet vanaf de client voorbij de server, niet met ping6, maar ook niet met ssh. Bijvoorbeeld ssh -6 weer-die-vri...@shell.xs4all.nl (knip) debug1: Connecting to shell.xs4all.nl [2001:888:0:1::9] port 22. en dan stilte, tot ik ^C doe. De configuratie van de client - let op, er staan twee mogelijke IPv[4,6] reeksen, ze doen het beiden (niet tegelijk, uiteraard). ,---- | [Interface] | Address= 10.93.15.2/24, fc80::b85f:d925:971e:110f/64 | # een alternatief, werkt ook: Address = 10.66.66.2/24,fd42:42:42::2/64 | PrivateKey = <privatekey> | | [Peer] | PublicKey = P3GrgaFCxj6gc6CnOUPo8vxBtKaOcKa7wa8LoL1oUl0= | Endpoint = [2a01:4f8:200:546b::9e15:1]:51820 | AllowedIPs = 0.0.0.0/0, ::/0 | PersistentKeepalive = 25 `---- en die van de server: ,---- | Interface] | Address = 10.93.15.1/24, fc80::b85f:d925:971e:109f/64 | # alternatief, ook goed: Address = 10.66.66.1/24,fd42:42:42::1/64 | PrivateKey = <privatekey> | ListenPort = 51820 | | [Peer] | PublicKey = nRwfI98C+AFDaLZuaF1i7YWrj7yQDHrQO07XvivGn2U= | # alternatief: AllowedIPs = 10.66.66.2/32,fd42:42:42::2/128 | AllowedIPs = 10.93.15.2/32, fc80::b85f:d925:971e:110f/128 `---- In de spaarzame vrije tijd heb ik van alles nagelopen. Ik heb bijvoorbeeld last van een kernel oops, getrigged door ip4/ip_forward, de logs roepen dan: "netdevice: eth0: failed to disable LRO!: Daar wordt aan gewerkt: https://www.mail-archive.com/virtualization@lists.linux-foundation.org/msg48170.html Ik kan niet zien of het iets met IPv6 forwarding te maken heeft. Dan spelde ik https://wiki.debian.org/NetworkConfiguration: mist mijn static configured ethernet device (die van de oops) soms "accept_ra 2" (ik begrijp het helaas nog niet helemaal) sysctl net.ipv6.conf.all.accept_ra=2 getest Maar het maakt voor WireGuard niets uit. Ik zie ook /niets/ relevants in de logs (mezelf kennende zal het er toch wel staan). Hier een paar van de huidige IPv6 instellingen op de server: sysctl -a | grep -E 'ipv6.*\.(forwarding|accept_ra) =' net.ipv6.conf.all.accept_ra = 1 net.ipv6.conf.all.forwarding = 1 net.ipv6.conf.default.accept_ra = 1 net.ipv6.conf.default.forwarding = 1 net.ipv6.conf.eth0.accept_ra = 0 net.ipv6.conf.eth0.forwarding = 1 net.ipv6.conf.lo.accept_ra = 1 net.ipv6.conf.lo.forwarding = 1 net.ipv6.conf.wg0.accept_ra = 1 net.ipv6.conf.wg0.forwarding = 1 Waarom doe ik al die moeite om Wireguard ook via IPv6 te doen? Tja: ik wil het gewoon in orde hebben, het is net als het strijken van je overhemden. In België wordt IPv6 gewoon goed ondersteund, het werkt goed op mijn LAN, het doet het uitstekend in Debian. WireGuard kan het, dus waarom zou ik het niet doen? op de server: ip -6 route ,---- | ::1 dev lo proto kernel metric 256 pref medium | 2a01:4f8:200:546b::/64 dev eth0 proto kernel metric 256 pref medium | fd42:42:42::/64 dev wg0 proto kernel metric 256 pref medium | fe80::/64 dev eth0 proto kernel metric 256 pref medium | default via 2a01:4f8:200:546b::3 dev eth0 metric 1024 onlink pref medium `---- Mij valt op dat ssh -6 hierboven wel weet welk IP address ie moet hebben. /etc/resolf.conf op de server (wg0 is up) nameserver 2606:4700:4700::1111 nameserver 1.1.1.1 op de client (wg0 is eveneens up) search home nameserver 192.168.1.1 dank voor de aandacht!