Auteur Sujet: IPv4 en priorité sur tunnel Wireguard  (Lu 5032 fois)

0 Membres et 1 Invité sur ce sujet

mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 297
  • Chelles (77)
    • L'antre de la bête
IPv4 en priorité sur tunnel Wireguard
« Réponse #12 le: 27 mai 2020 à 12:38:39 »
Je suis dans un cas simple, le serveur est sur le routeur d'accès mais même en taillant un /64 dans le /56 que j'ai, l'IPv6 n'est pas fonctionnelle.
Je vais reprendre la doc de wireguard.

mirtouf

  • Abonné Bbox fibre
  • *
  • Messages: 1 297
  • Chelles (77)
    • L'antre de la bête
IPv4 en priorité sur tunnel Wireguard
« Réponse #13 le: 29 mai 2020 à 19:02:06 »
Est-ce qu'une interface wireguard peut fonctionner avec ndppd ?

kazyor

  • Expert des Télécoms
  • Expert
  • *
  • Messages: 1 334
  • Lyon 7ème (69)
IPv4 en priorité sur tunnel Wireguard
« Réponse #14 le: 28 septembre 2020 à 17:08:22 »
C'est moche et pas "think ipv6", mais ici, le plus simple que j'ai trouvé, c'est :
  • endpoint ipv4 only
  • Passer le serveur d'un ::1/64 sur un subnet en ::1/72 en fixe (dans les network-scripts/ifcfg-eth0)
  • Configurer l'interface wg0 sur un autre /72 en fixe
  • Ajouter les adresses des peers sur ce même subnet
Ça fonctionne plutôt bien. Et le truc drôle, c'est si je supprime le MASQUERADE en ipv4, on se retrouve avec un fonctionnement ipv6 only :)

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
IPv4 en priorité sur tunnel Wireguard
« Réponse #15 le: 14 octobre 2022 à 01:36:59 »
Petit déterrage pour signaler un problème assez gênant.

Par rapport à la priorisation IPv4, y'a une belle régression sur le mobile chez Bouygues et Orange en IPv6 only : Si le 464XLAT ne fonctionne pas pour X ou Y raison, impossible de se connecter au VPN sans manip supplémentaire.

Bien que le DNS64 fasse son boulot et renvoie une ipv6, il renvoie aussi l'ipv4 et c'est le drame : Wireguard sélectionne l'ipv4 et commence sa séquence d'initialisation, qui évidemment n’aboutira jamais

Seule solution : mettre en dur l'adresse DNS64isé ou avoir un serveur compatible ipv6.
« Modifié: 14 octobre 2022 à 02:20:05 par renaud07 »

zergflag

  • Abonné Bbox fibre
  • *
  • Messages: 1 941
IPv4 en priorité sur tunnel Wireguard
« Réponse #16 le: 14 octobre 2022 à 11:45:27 »
Ça c'est plus un problème côté Wireguard qui je ne sais pour qu'elle raison met IPv4 en prioritaire pour le tunnel et même le traffic a l'intérieur... J'espère qu'un jour ça sera changé...

simon

  • Abonné Orange Fibre
  • *
  • Messages: 935
IPv4 en priorité sur tunnel Wireguard
« Réponse #17 le: 14 octobre 2022 à 14:25:28 »
Bien que le DNS64 fasse son boulot et renvoie une ipv6, il renvoie aussi l'ipv4 et c'est le drame : Wireguard sélectionne l'ipv4 et commence sa séquence d'initialisation, qui évidemment n’aboutira jamais

Seule solution : mettre en dur l'adresse DNS64isé ou avoir un serveur compatible ipv6.

Je confirme que les VPN d'entreprise ont une facheuse tendance à avoir des soucis sur un réseau IPv6 only. Ils sont bien souvent configurés avec une seule IPv4 littérale à la place d'un record DNS...

J'ai eu le cas avec le VPN d'un client (openvpn dans ce cas) et j'ai fini par faire la même manip que toi: convertir l'IPv4 littérale en IPv6 dans le préfixe NAT64.

Ca peut valoir le coup de faire un bugreport en détaillant ton use case, pour faire prendre conscience aux développeurs/administrateurs IT qu'il n'est pas rare d'être connecté à un accès single-stack IPv6-only de nos jours.

jeremyp3

  • Abonné Orange Fibre
  • *
  • Messages: 715
  • Pau (64)
IPv4 en priorité sur tunnel Wireguard
« Réponse #18 le: 14 octobre 2022 à 14:32:25 »
hello,

Si ça peut aider, j'avais posté un message sur la liste wireguard parlant de ce problème, qui pour moi est une véritable régression
https://lists.zx2c4.com/pipermail/wireguard/2021-January/006251.html

si l'ipv6 est dispo, il faut utiliser l'ipv6, et sinon, se rabatre sur l'ipv4. je comprends pas qu'on puisse faire autrement, sans nous laisser le choix, en plus de ça.

du coup, si je veux utiliser mon tunel wg en ipv6, je suis obligé de faire une entré AAAA uniquement et quand j'arrive sur un réseau qui a que de l'ipv4, je suis bloqué.

Jerem

renaud07

  • Abonné Orange adsl
  • *
  • Messages: 3 345
IPv4 en priorité sur tunnel Wireguard
« Réponse #19 le: 14 octobre 2022 à 15:27:06 »
Ca peut valoir le coup de faire un bugreport en détaillant ton use case, pour faire prendre conscience aux développeurs/administrateurs IT qu'il n'est pas rare d'être connecté à un accès single-stack IPv6-only de nos jours.

C'est mon VPN perso, donc c'est pas trop gênant (c'est d'ailleurs pour ça que j'ai réactivé l'ipv6 y'a pas longtemps quand je me suis rendu compte du problème).

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
IPv4 en priorité sur tunnel Wireguard
« Réponse #20 le: 14 octobre 2022 à 18:31:22 »
Pourrais tu tester avec Tailscale (c'est gratuit) pour voir si leur client Android a le meme souci (a priori ils utilisent wireguard-go et pas la version Java de Wireguard).

au pire si tu ne veut pas de Tailscale, tu peux toujours basculer sur https://github.com/juanfont/headscale qui est compatible avec le client Android Tailscale.


zoc

  • Abonné Orange Fibre
  • *
  • Messages: 4 258
  • Antibes (06) / Mercury (73)
IPv4 en priorité sur tunnel Wireguard
« Réponse #21 le: 15 octobre 2022 à 09:40:06 »
J’avais regardé un peu le code source de wireguard-go pour comprendre (parce qu’il y a exactement le même problème sur iOS), et en fait il s’avère que c’est le comportement par défaut de je ne sais plus quelle librairie Go qu’ils utilisent. J’ai pas cherché à patcher et faire une version custom du client iOS cependant.

kgersen

  • Modérateur
  • Abonné Bbox fibre
  • *
  • Messages: 9 078
  • Paris (75)
IPv4 en priorité sur tunnel Wireguard
« Réponse #22 le: 15 octobre 2022 à 15:36:25 »
Je n'ai pas testé en 4G/5G mais avec Android en wifi , tailscale fait bien le tunnel sur IPv6 en prio.