Сеть IPv6 для WireGuard VPN
В настоящее время я перевожу внутреннюю VPN компании с OpenVPN на WireGuard. При этом я хочу перевести его с IPv4 на IPv6. В настоящее время инфраструктура состоит из одного сервера и ~1200 клиентов за DSL соединениями нескольких провайдеров (зависит от клиента). Ожидается, что количество будет расти, и в какой-то момент сеть будет кластеризована. Я читал об ULAs и SLAAC, но я не уверен, как выбрать сеть IPv6, которая вряд ли столкнется с существующими сетями IPv6 соответствующих провайдеров или сетями наших клиентов. Какой способ рекомендуется выбрать сеть IPv6 для такого сценария VPN?
Получите выделение IPv6 от вашего интернет-провайдера или RIR.
Определите адресный план, чтобы охватить необходимое вам количество / 64, насколько вы можете спроецировать. Наименьший размер, который вы должны попросить, - это / 48, типичный размер для одного «сайта». Планируйте все свои потребности, внешние сервисы, VPN, локальную сеть и тестовые сети на нескольких площадках, если вы планируете расти.
Ваш префикс должен быть таким, как вы хотите, поскольку ваш интернет-провайдер перенаправляет его вам. Если вы хотите использовать несколько / 64 для VPN, перенаправьте их на VPN-сервер.
Уникальный локальный адрес не предназначен для доступа в Интернет. Хотя ULA может быть полезен только для ресурсов и лабораторий LAN, вам действительно нужен префикс с глобальной маршрутизацией.
Сгенерировать ULA / 48 с «fd» плюс 40 случайных битов. Это, скорее всего, будет уникальным для любых других сетей, с которыми вы можете столкнуться. Один простой способ: установить subnetcalc (в нем есть пакет Debian) и
subnetcalc fd00:: 48 -uniquelocal
Что ж, если вы хотите протестировать IPv6, я бы посоветовал взять подсеть / 48 с https://Tunnelbroker.net/ . Это, безусловно, самый простой способ получить реальный опыт работы с IPv6.
Вы можете получить до 4 подсетей x / 48, оставаясь при этом бесплатными, хотя одна подсеть / 48 будет работать для большинства людей - например, для меня.
У них даже есть руководства для нескольких маршрутизаторов и серверов о том, как пересылать IPv6-адреса из вашей сети в IPv6 Internet.
Выбор подсети в сети зависит от вас, но по общему правилу самая маленькая подсеть - это / 64 из-за того, как работают SLAAC и EUI-64.
Это означает, что / 48 потенциально можно разделить на 65536 подсетей.
Для разделения подсетей и поиска диапазона адресов я обычно использую http://www.gestioip.net/cgi-bin/subnet_calculator.cgi .
Я разделил свою подсеть на 256/56 подсетей, поскольку я предоставляю IPv6 нескольким физическим точкам через VPN. Таким образом, я могу поддерживать 256 различных локаций, что для меня более чем достаточно.
В каждом из своих местоположений я могу разделить / 56 на другие подсети 256 × / 64, которые можно назначить разным VLAN.
Если 256 подсетей недостаточно для одного местоположения, вы всегда можете направить другую подсеть / 56 в то же место из доступного пула адресов.