Развёртывание Wireguard VPN с доступом к IPv6 в OpenWrt
Содержание
Подключим OpenWrt к IPv6 сегменту Интернета, настроим Wireguard VPN, предоставив доступ к IPv6 сети клиентам из IPv4 сети.
Настройка IPv6
В файл /etc/config/network добавляем IPv6-интерфейс:
config interface 'wan6'
option device 'eth0'
option proto 'static'
list ip6addr '2001:db8:10::11:123/64'
option ip6gw '2001:db8:10::1'
list dns '2606:4700:4700::1111'Применяем:
# service network restart
Wireguard
Установка выполняется командой:
# opkg install wireguard-tools luci-app-wireguard
Конфигурация VPN-сервера
В файл /etc/config/network добавляем Wireguard-интерфейс:
config interface 'wg1'
option proto 'wireguard'
option private_key 'wTJrvjJXLhOBioOstz9W3nhbfWnpcHihaeO8fFzQH0g'
option listen_port '51820'
list addresses '10.11.12.1/24'
list addresses 'fd66:3b79:5c0d:1112::1/64'где IPv6-адрес — ULA-адрес, если в наличии только один адрес.
В тот же файл добавляем конфигурацию клиента:
config wireguard_wg1
option description 'client1'
option public_key 'bPwnVzMo63h1HtU1J/Wx9HhUjvRAbDAD1Tg6cTVUPAJ'
list allowed_ips '10.11.12.111/32'
list allowed_ips 'fd66:3b79:5c0d:1112::111/128'Применяем настройки:
# service network restart
Конфигурация межсетевого экрана
В файле /etc/config/firewall разрешаем внешние подключения к VPN:
config rule
option name 'Allow-Wireguard'
list proto 'udp'
option src 'wan'
option dest_port '51820'
option target 'ACCEPT'Если на предыдущем шаге для IPv6 выбрали частный диапазон, тот нужно включить NAT для IPv6 — в том же файле в конфигурацию внешней зоны добавить:
config zone
option name 'wan'
option masq6 '1'Готово.