OpenVPN AWS EC2 服务器的客户端没有 IPV6 互联网连接

Question

我在 AWS EC2 实例上设置了一个 OpenVPN 服务器，该服务器正在提取 IPV6 地址，并且可以 traceroute6 和 ping6 ipv6.google.com。当使用 ipleak 或 testipv6 等在线测试时，客户端既不能做也不能返回地址。服务器和客户端可以互相ping6和traceroute6。

客户端似乎通过ip -6 route在本地提取了正确的地址。 IPV4 一直运行良好，没有问题。根据他们的指令here，AWS 方面的一切看起来都很好，因此该实例确实启用了 ipv6，并在 aws/vpc 方面进行了正确的路由。安全组也对 ipv6 开放。

我假设这是我的路由，但我现在不确定，因为我不是 ipv6 或路由专家。请帮忙！

相关配置信息：

AWS 实例的 ipv6 地址： aaaa:bbbb:cccc:dddd::/64

server.conf

local 172.31.44.1
port 443
proto udp
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh.pem
auth SHA512
tls-crypt tc.key
topology subnet
server 10.8.0.0 255.255.255.0
push "redirect-gateway def1 bypass-dhcp"
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 1.1.1.1"
push "dhcp-option DNS 1.0.0.1"
keepalive 10 120
cipher AES-256-CBC
user nobody
group nogroup
persist-key
persist-tun
verb 3
crl-verify crl.pem
explicit-exit-notify
server-ipv6 aaaa:bbbb:cccc:dddd:80::/112
push "redirect-gateway-ipv6 def1 bypass-dhcp-ipv6"
push "route-ipv6 aaaa:bbbb:cccc:dddd::/64"
push "route-ipv6 2000::/3"
push "route 172.31.44.1 255.255.255.255 net_gateway"
push "dhcp-option DNS6 2001:4860:4860::8888"
push "dhcp-option DNS6 2001:4860:4860::8844"

/etc/sysctl.conf

net.ipv4.ip_forward=1
net.ipv6.conf.all.forwarding=1
net.ipv6.conf.all.proxy_ndp=1

ip6tables：

-A INPUT -p udp --dport 443 -j ACCEPT
-A FORWARD -m state --state NEW -i tun0 -o eth0 -s aaaa:bbbb:cccc:dddd::/64 -j ACCEPT
-A FORWARD -m state --state NEW -i eth0 -o tun0 -d aaaa:bbbb:cccc:dddd::/64 -j ACCEPT
-A FORWARD -m state --state ESTABLISHED,RELATED -j ACCEPT

Answer 1

不要使用代理 NDP。一团糟。 您需要为 EC2 实例委派（=路由）一个前缀，然后在 OpenVPN 配置中配置此前缀（带有分配的前缀和掩码的 server-ipv6 关键字，例如 2001:db8:dead:beef:1::/ 80），然后从前缀分配连接用户地址。

https://docs.aws.amazon.com/AWSEC2/latest/UserGuide/work-with-prefixes.html https://openvpn.net/community-resources/reference-manual-for-openvpn-2-4/