fragen stichworte

zwingen Sie openVPN zur Verwendung von IPv6

Ich habe herausgefunden, dass meine VPN-Verbindung aus test-ipv6.com undicht war. Ich habe die IPv4-Adresse meines VPNs, aber die IPv6-Adresse meines Heimrouters angezeigt.

Ich habe meine VPN-Verbindung mit der untenstehenden Datei .ovpn eingerichtet, die ich von privateinternetaccess.com

heruntergeladen habe
client
dev tun
proto udp
remote ireland.privateinternetaccess.com 1197
resolv-retry infinite
nobind
persist-key
persist-tun
cipher aes-256-cbc
auth sha256
tls-client
remote-cert-tls server
auth-user-pass
comp-lzo
verb 1
reneg-sec 0
crl-verify crl.rsa.4096.pem
ca ca.rsa.4096.crt
disable-occ

Wie konfiguriere ich und/oder welche Flags übergebe ich an openvpn, um das IPv6-Routing zu aktivieren?

antworten

Derzeit erfordert OpenVPN, dass Sie IPv4 innerhalb des Tunnels konfiguriert haben, den Sie IPv6 als Dual Stack hinzufügen können. Was Sie außerhalb des Tunnels tun, bleibt Ihnen überlassen (1).

Hier ist Ihre Antwort: OpenVPN 2.3 (und höchstwahrscheinlich 2.4) funktioniert nur mit IPv6 (2).

Außerdem (3) sind hier zwei von OpenVPN unterstützte Gerätetypen: tun und tippen.

Tun-Geräte empfangen rohe IP-Pakete und geben sie an ein User-Space-Programm weiter. Bei OpenVPN verschlüsselt dieses Programm diese Pakete und sendet sie an das andere Ende des Tunnels, wo sie entschlüsselt und an das Tun-Gerät auf dieser Seite zurückgesendet werden. Mit anderen Worten: Ein Tun-Gerät verhält sich wie eine virtuelle Punkt-zu-Punkt-Netzwerkverbindung.

Tap-Geräte verwenden anstelle von IP-Paketen rohe Ethernet-Frames. Ein Tap-Gerät ist wie eine virtuelle Ethernet-Karte - jedes Paket, das an es gesendet wird, wird durch den Tunnel geleitet und der Ethernet-Stack auf der anderen Seite wird gesichert. Eine OpenVPN-Verbindung mit tap ist also wie ein virtueller Ethernet-Bus, an dem genau zwei Ethernet-Karten angeschlossen sind - eine auf jeder Seite des Tunnels. Der Nachteil bei der Verwendung von tap ist, dass für jedes Paket 14 weitere Bytes (der Ethernet-Header) verbraucht werden. Der Vorteil ist, dass wir jedes Protokoll darüber verwenden können, ohne dass wir über OpenVPN-Unterstützung nachdenken müssen.

Der erste Artikel, in dem die IPv6-Unterstützung in OpenVPN mit tun beschrieben wird. Der zweite verwendet tap:

  1. https://community.openvpn.net/openvpn/wiki/IPv6 (IPv6 funktioniert jedoch nicht mit einigen mobilen Geräten, wenn Sie nicht mindestens 2.4 verwenden, siehe (4))

  2. http://silmor.de/ipv6.openvpn.php (Beachten Sie, dass seit der Veröffentlichung dieses Artikels OpenVPN den Transport über IPv6 aktiviert hat - wir sind jetzt in Version 2.2+)