Configurazione tunnel IPv6

[cancellato] No, che essendo forzatamente diverso da quelli assegnati regolarmente agli apparati fisici le chances di conflitto si riducono moltissimo... E poi cribbio... Son 47 bit, ne hai di combinazioni

Ok grazie, alla fine ho risolto lasciando fare tutto a SLAAC, alla fine l'IP è come se fosse statico.
Ho aggiunto il record sul pihole e buonanotte

[cancellato] non stai facendo un bridge TAP (vero? vero? )

Ci avevo pensato tempo fa ma non ci ero riuscito
Quindi no, tunnel normale L3

Comunque penso di esserci riuscito ma ho dovuto bestemmiare un po' con il file config del server.
Non è così facile come c'è scritto sul sito.

Lascio qua sotto il file di config se qualcuno vuole fare la stessa cosa, evita un po' di bestemmie.

# MAIN SECTION
dev tun
proto udp6
port 1194
mode server

# CRYPTO
ca /etc/openvpn/easy-rsa/pki/ca.crt
cert /etc/openvpn/easy-rsa/pki/issued/milkyway_8cdbb9e1-d27f-441b-a6e8-8e5e6774b54c.crt
key /etc/openvpn/easy-rsa/pki/private/milkyway_8cdbb9e1-d27f-441b-a6e8-8e5e6774b54c.key
dh none

# SERVER CONFIG
topology subnet
tls-server
ifconfig 10.0.8.1 255.255.255.0
ifconfig-pool 10.0.8.10 10.0.8.254
route-gateway 10.0.8.1

push "topology subnet"
push "route-gateway 10.0.8.1"
push "redirect-gateway def1 bypass-dhcp"

# IPv6 CONFIG
tun-ipv6
push tun-ipv6
ifconfig-ipv6 2001:470:xxxx:1::1/64 2001:470:xxxx:1::2
ifconfig-ipv6-pool 2001:470:xxxx:1::1000/64

push "redirect-gateway ipv6 def1 bypass-dhcp"

# CLIENT CONFIG
client-config-dir /etc/openvpn/ccd
route 192.168.10.0 255.255.255.0 10.0.8.2
push "dhcp-option DNS 10.0.0.250"
push "dhcp-option DNS 1.0.0.1"
push "route 192.168.10.0 255.255.255.0"
push "route 10.0.0.0 255.255.255.0"

push "route-ipv6 2001:470:xxxx::/48"
push "route-ipv6 2000::/3"

# OTHERS
client-to-client
keepalive 10 120
remote-cert-tls client
tls-version-min 1.2
tls-crypt /etc/openvpn/easy-rsa/pki/ta.key
cipher AES-256-CBC
auth SHA256
user nobody
group nogroup
persist-key
persist-tun
crl-verify /etc/openvpn/crl.pem
status /var/log/openvpn-status.log 20
status-version 3
syslog
verb 6

Assegna indirizzi sequenzialmente nella subnet 2001:470:xxxx:1::/64 a partire da :1000

Ovviamente l'interfaccia di Technicolor non permetteva di aggiungere delle route IPv6, però Luci si ed è stata semplice da aggiungere, spero solo che non si resetti quando spengo/riaccendo il modem.

Comunque per il momento funziona tutto: anche scaricando da siti IPv6 riesco a maxare la mia velocità di download, il ping è aumentato di 10-15 ms quindi direi che è accettabile, anche a giocare nessun problema.

matteocontrini ci sarà un modo per disabilitare SLAAC

C'è, ma addio ad Android

matteocontrini per dare la priorità all'indirizzo assegnato dal DHCP, se no che senso ha?

Non lo so, ma il fatto che i device prendano entrambi gli indirizzi penso implichi che andrebbe settato per dispositivo, non proprio il massimo.

matteocontrini per sé stesso usa SLAAC EUI-64, quindi non si può neanche pingare il router senza andare a fare un copia incolla dell'indirizzo...

hahaha, io posso sceglierlo ma solo perchè è sbloccato.
Sarei curioso di vedere cosa succederebbe se venisse collegato a una vera Dual Stack con le impostazioni di fabbrica.

Penso si metta sul prefisso::1 di default

Pensa che senza l'accesso a Luci non puoi dire al firewall di permettere l'accesso dall'esterno ad un host (con IP pubblico...) quindi di fatto la LAN è bloccata e perde tutti i vantaggi di IPv6....

[cancellato] Se non ti serve veicolare tutto il "rumore" L2, tun va benissimo. Alla fine al 99,9999% delle applicazioni basta una rete ruotata P2P.

stemax97
All'inizio volevo farla per il discovery di Plex e DLNA per la TV ma poi ho lasciato perdere e fatto manualmente.

[cancellato] Povero Zanichelli...

matteocontrini Secondo me non gestisce la parte IPv6, perché è configurato per avere il tunnel

Intendo lo scolapasta, supporta IPv6 e nelle impostazioni della GUI della TIM c'è pure il bottone per attivarlo.
Ovviamente non funziona poi perchè TIM non lo da, però c'è

matteocontrini vedo un solo IPv6 (global unicast), che però è random quindi in realtà non posso sapere se è SLAAC casuale o se è il DHCPv6 che me lo dà così

Io ne ho 2, su Windows uno viene segnato come "temporaneo"

Comunque è proprio per la Privacy, Linux (KDE) permette di scegliere come gestire la cosa nelle impostazioni

Quando DHCP lo avevo in stateless+stateful mi dava 3 indirizzi.

Edit: pure android prende 2 indirizzi come linux. Uno segue il mac, l'altro è random

matteocontrini Ma il DHCP a che serve allora?

Sei sicuro sia davvero DHCP?
Se concide col Mac dovrebbe essere SLAAC

matteocontrini Mi sfugge il beneficio per la privacy al momento?

Per non permettere ai siti web di tracciare il singolo dispositivo, immagino.

https://www.internetsociety.org/resources/deploy360/2014/privacy-extensions-for-ipv6-slaac/

matteocontrini Sìsì ci sono informazioni sulla scadenza del lease.

Se fosse SLAAC EUI-64 ci sarebbe un FF:FE in mezzo al MAC (vengono aggiunti per espandere da 48 a 64 bit, oltre a flippare il settimo bit), ma non c'è

Ho guardato sul portatile e anche a me su Windows mi da 2 indirizzi "casuali"
Su linux invece uno è legato al MAC e uno no, strano.

Comunque il DHCP non l'ho disattivato completamente: l'ho messo in modalità stateless, qualsiasi cosa sia

matteocontrini probabilmente perché il Fastgare non ha firewall sull'IPv6