💡 WireGuard через IPv6-only VPS с доступом к IPv4-сайтам

Если у тебя есть VPS только с IPv6 (например, Hetzner), но нужно обеспечить выход в IPv4-интернет — этот пост для тебя.

🔧 Настраиваем NAT64 + DNS64 через WireGuard

1. Устанавливаем и настраиваем WireGuard на сервере (IPv6-only VPS):

apt install wireguard

/etc/wireguard/wg0.conf:

[Interface]
Address = fd00::1/64
ListenPort = 51820
PrivateKey = <серверный_приватный_ключ>
PostUp = sysctl -w net.ipv6.conf.all.forwarding=1
PostUp = iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE
PostDown = iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

[Peer]
PublicKey = <клиентский_публичный_ключ>
AllowedIPs = fd00::2/128

2. Добавляем NAT64 с Tayga:

apt install tayga

/etc/tayga.conf:

tun-device nat64
ipv4-addr 192.0.2.1
prefix 64:ff9b::/96

mkdir -p /var/spool/tayga
tayga --mktun
ip link set nat64 up
ip addr add 192.0.2.1 dev nat64
ip addr add 64:ff9b::1 dev nat64
ip route add 64:ff9b::/96 dev nat64

3. Настраиваем DNS64 (через bind9 или unbound):
Пример настройки unbound:

apt install unbound

В unbound.conf:

module-config: "dns64 validator iterator"
dns64-prefix: 64:ff9b::/96

4. WireGuard на клиенте:

[Interface]
PrivateKey = <клиентский_ключ>
Address = fd00::2/128

[Peer]
PublicKey = <серверный_ключ>
Endpoint = [IPv6-адрес]:51820
AllowedIPs = ::/0

⚙️ Зачем это?
Так можно использовать дешевый IPv6-only VPS как NAT64-шлюз и обойтись без дорогого IPv4-адреса. Подходит для роутера или ноутбука за CGNAT.

💡 Фишка:
Можно комбинировать с systemd-resolved или dnsmasq для более гибкого DNS64.

💥 Сохрани, пригодится

#Linux@linux_odmin #WireGuard@linux_odmin #Сеть@linux_odmin

👉 @linux_odmin