또 다른 IPv6 블록이 필요한 이유는 무엇입니까?

또 다른 IPv6 블록이 필요한 이유는 무엇입니까?

OpenVPN 매뉴얼의 다음 문장을 이해하려고 노력하고 있습니다.

https://community.openvpn.net/openvpn/wiki/IPv6

라우팅 설정에서는 링크 네트워크를 사용할 수 없으며 IPv4를 사용한 라우팅과 마찬가지로 고유한 라우팅 네트워크 범위를 사용해야 합니다.

간단히 말해서 이는 NAT 뒤에 숨기지 않고 개방형 VPN을 통해 IPv6를 실행하려면 두 개의 IPv6/64 블록이 필요하다는 것을 의미합니다. 아니면 최소한 블록 하나와 완전히 별개의 IPv6 주소를 갖고 있어야 합니다.

왜 이런지 설명할 수 있는 사람이 있나요?


/64 블록이 할당된 서버가 있기 때문에 이 문제로 어려움을 겪고 있습니다. 네트워크 관점에서 볼 때 이 블록의 모든 트래픽은 내 서버(?)로 보내져야 합니다. 해당 서버에서 자체 IP가 아닌 경우 해당 블록에 대한 모든 트래픽은 VPN을 통해 전송됩니다. VPN 클라이언트의 관점에서 볼 때, 이 블록에 대한 모든 트래픽은 자체 IP가 아닌 경우 VPN을 통해 전송됩니다.

동일한 /64 블록을 두 개의 인터페이스에 할당하면 전체 블록을 하나의 서버에 할당하는 데 문제가 발생하는 이유를 이해할 수 없습니다.

답변1

동일한 주소 공간을 사용하는 두 개의 독립적인 네트워크를 가질 수 없습니다. 서버의 업스트림 이더넷 포트에 /64가 있는 경우 OpenVPN 인터페이스는 별도의 네트워크이므로 동일한 포트를 가질 수 없습니다.

기술적으로 귀하의 서버에는 전체 /64가 없습니다. 이더넷 인터페이스에서 하나 이상의 /64 주소로 구성됩니다. 귀하의 공급자가 전체 /64를 예약했는지 알 수 있는 방법이 없습니다. 여러 고객을 공유 /64에 배치하는 공급자도 있습니다. 서버에서는 알 수가 없습니다.

따라서 이를 올바르게 수행하려면 OpenVPN 네트워크에 별도의 /64가 있어야 하며 해당 /64는 서버를 통해 라우팅되어야 합니다("통과"에 유의하세요. 이는 서버에 속하지 않으며 서버는 다음을 위한 트래픽만 라우팅합니다). 일부 주소는 VPN 클라이언트에 속합니다). 이를 위해서는 제공업체가 귀하를 대신하여 설정해야 합니다. 라우터와 서버 사이의 네트워크에 /64(이미 가지고 있는 /64)를 구성하고 서버를 다음 홉(라우터)으로 사용하는 다른 /64에 대한 경로를 구성합니다.

또 다른 해결 방법은 OpenVPN을 레이어 2 모드로 구성하고 서버의 이더넷 포트와 OpenVPN Tap 인터페이스 사이에 이더넷 브리지를 만드는 것입니다. 이렇게 하면 각각 별도의 /64가 필요한 두 개의 별도 네트워크가 없습니다. 브리지가 있는 네트워크를 갖게 됩니다. 네트워크에는 /64가 하나만 필요합니다. 기존 네트워크를 VPN 클라이언트에 브리지할 수 있습니다. 이것이 가능한 해결책인지 결정해야 합니다.

답변2

세 번째 해결 방법은 NDP 프록시를 사용하는 것입니다.

IP 이웃 추가 프록시 fd00::1:1001 dev eth0 ip 이웃 추가 프록시 fd00::1:1002 dev eth0 ...

DHCPv6-PD를 피하기 위해 집에서 dsl 연결에 이것을 성공적으로 사용했습니다.

자세한 내용은 여기(독일어) http://www.thomas--schaefer.de/openvpn-fuer-altlasten.html

관련 정보