Комментарии 31
используются спорные решения.
самым оптимальным вариантом являются сети /65
При /64 на VPS, для пира маршрутизатора логичней передать (почти) всю /64 - хотя бы автоматизация в виде slaac будет работать.
[Interface]
Address = 2001:0db8:827:fcde::1/128
[Peer]
AllowedIPs = 2001:0db8:827:fcde::/64
# На маршрутизаторе не использовать адреса gateway (если он из этой /64) и 2001:0db8:827:fcde::1/128 т.к. они уже используются.
Либо для любых клиентов пиров указывать по /128, всё равно автоматизацией не выйдет нормально пользоваться.
Если это всё только лишь ради того, чтобы получить доступ к запрещенным сайтам, IMHO, это некоторый overkill
Я для этой цели написал программучину, https://github.com/alexpevzner/froxy
Со стороны сервера ей не надо ничего, кроме доступа по SSH, и чтобы port forwarding был открыт (по умолчанию он обычно открыт). На клиенте настройка тоже не сложная
Она - http-proxy, ее прописывают в качестве прокси для веб-бровсера (или для любой другой программы, которая использует HTTP). И у нее можно регулировать, какие сайты посещаются напрямую, а какие - через VPS
Вообще для socks-прокси достаточно одной команды: ssh server -D 1080
. Прописываем 127.0.0.1:1080 в качестве socks прокси прямо в браузере, либо в расширении, которое будет туда отправлять только нужные домены.
А, вообще, заметка о том как сделать себе именно VPN сервер с IPv6. Как уж вы его будете применять, это ваше дело. Например, можно получать доступ к IPv6 ресурсам через сотового оператора, который этот протокол не поддерживает (Tele2, Yota, Билайн, Мотив). Тогда просто настройки для IPv4 можно полностью убрать.
Вообще для socks-прокси достаточно одной команды: ssh server -D 1080
Я знаю, да. Моя утилитка добавляет мультиплексирование по именам доменов, куда ходить через SSH, а куда - напрямую
А, вообще, заметка о том как сделать себе именно VPN сервер с IPv6
Это понятно, да, Ну просто Вы приводите в качестве примера именно этот случай...
Существует еще прекрасная наработка по wireguard клиент-серверу: easy-wg-quick с гитхаба. Умеет всё вышеперечисленное из коробки + генерацию конфигов с QR. Статья разве только для самообразования пригодится.
У меня была цель описать как я настраивал свой сервер в условиях ограничений на IPv6. Изначально вообще было непонятно как и что нужно настраивать.
Скрипт для настройки родился чуть раньше. Мне просто надоело руками генерировать ключи. Но потом оказалось, что и остальное тоже можно автоматизировать так или иначе.
За ссылку спасибо, обязательно посмотрю что там другие придумали.
Очень смущает директива AllowedIPs
у клиента. Какой клиентский трафик вы хотите пропускать через WG сервер?
[Peer]
AllowedIPs = 192.168.0.0/24, 2000::/3
Странно почему все молчат, но Wireguard начали блокировать большинство провайдеров, рукопожатие не проходит уже неделю на европейские/американские сервера.
Какой провайдер?
Домру, Ростелеком, Мегафон не блокируют на нестандартном порту. Сервер в Нидерландах.
МГТС, МТС, Билайн, Мегафон, Orange блокируют на любом порту.
Странно. У меня таких проблем не наблюдается.
У МГТС есть своя специфика, что они в принципе почти все порты блокируют, пока не куплена услуга с белым IP (даже если и так выдавался белый).
А у МТС наблюдал отдельные базовые станции, на который действительно не работал WG (но это скорее исключение, чем правило).
А preshared key используется?
Мобильный МТС- wireguard работает без проблем - два дня назад из Ярославля вернулся- и там нет проблем, и дома не возникало. Стационарный МГТС- нет проблем и не возникало.
+++, тоже на данный момент не работает с мобильного интернета -- Билайн, Мтс, Йота и Мегафон. С проводного пока еще все в норме.
Подтверждаю, на билайне не работал пару дней назад.
При желании, можно обернуть wireguard в shadowsocks (или просто использовать этот самый shadowsocks без wireguard), развернув их оба на одном сервере (можно даже и в докере)
Если погуглить shadowsocks-rust wireguard, на гитхабе есть подробное обсуждение, как это настроить с точки зрения конфига. Я разве что столкнулся с проблемой, что трафик не шёл без статического роута или bind'а на конкретный интерфейс на клиенте.
В общем, ежели кому нужно, могу поделиться образцом конфигов.
а на oracle free tier кто нибудь настраивал ipv6 для wireguard?
они вроде как дают /64 подсеть, однако на ens3 интерфейс адрес можно получить только через dhcpv6 и он ставится /128
попытки прописать любой другой адрес на внешний интерфейс из /64 подсети дают нерабочий v6 вариант
Попробуйте мой велосипед
Но ведь сейчас операторы активно блокируют ovpn и wireguard... ?
Да wireG блокируют в Мегафон. Сначала помогала смена порта, теперь и она не помогает.
у меня сегодня на мегафоне перестал работать WireGuard в асмтердам
да и ikev2 и l2tp тоже
внутри россии всё работает без проблем
Все это не актуально, так как у большой части России сегодня WireGuard перестал работать. Порт не имеет значения.
Свой VPN с поддержкой IPv6 на базе Wireguard