HS
J'ai une petite question, comment configure tu wireguard pour forwarder une partie de ton block IPV6 sur tes clients ? Je n'ai pas trouvé beaucoup de guide sur le net sur ce sujet
Merci !
rien de compliquer, je fais en static avec wq-quick mais on peut aussi le faire en dynamique avec DHCPv6-PD.
mon bloc chez Online:
2001:bc8:xxxx:100::/56serveur (chez online), contenu du fichier /etc/wireguard/wg0.conf:
[Interface]
Address = fe80::1/64
ListenPort = 51820
PrivateKey = ...clé privée du serveur
[Peer]
#Description = HOME
PublicKey = ....clé public du client
AllowedIPs = 2001:bc8:xxxx:111::/62, fe80::/64, ff02::/8
PersistentKeepalive = 25
[Peer]
...#les autres peers s'il y en a
Client (chez moi; machine linux), contenu du fichier /etc/wireguard/wg0.conf:
[Interface]
Address = fe80::11/64
ListenPort = 51820
PrivateKey = ..clé privée du client
[Peer]
PublicKey = ..clé public du serveur
AllowedIPs = fe80::/64, ff02::/8, 2001:bc8:xxxx:100::/56, ::/0
Endpoint = ipv4_public_serveur:51820
persistentKeepalive = 25
nb: j'utilise des link-local sur les interface wg0 (fe80::1 et fe80:11) et je fais passer du local fe80::/64 et du multicast ff02::/8 mais ce n'est pas obligé : c'est juste pour pouvoir utiliser un protocol de routage comme RIPng.
A noter que
AllowedIPs coté client a de la redondance car ::/0 couvre tout mais des fois je l’enlève pour pas que tout le traffic IPv6 aille dans le tunnel.
A noter aussi que je route un /62 vers chez moi ce qui me permet d'utiliser 4 réseau /64 différents (utile pour Docker notamment).
J'utilise le 1er (2001:bc8:xxxx:111::/64) pour l'interface lan du client:
cat /etc/systemd/network/20-wired.network
[Match]
Name=eno1
[Network]
Address=192.168.1.3/24
Address=2001:bc8:xxxx:111::1/64
Gateway=192.168.1.1
DNS=192.168.1.1
IPForward=true
et pour docker, j'utilise le 2eme /64 (le 112 donc):
cat /etc/docker/daemon.json
{
"ipv6": true,
"fixed-cidr-v6": "2001:bc8:xxxx:112::/64"
}
ainsi tout les conteneurs dans la machine ont une IPv6 public (et sont en live sur le Net donc gaffe a la sécurité).
ps: pas oublier de "sudo systemctl enable wg-quick@wg0" pour que wireguard démarre au bout.