Since this is a home setup and my /56 might (will) change at some point, I don't want to have to reconfigure my router, server, and clients. Unless there's a way to dynamically reconfigure these devices in such a situation?<br><br><br><br><br><br><br>-------- Original Message --------<br>On Sep 16, 2018, 12:47 PM, Toke Høiland-Jørgensen < toke@toke.dk> wrote:<blockquote class="protonmail_quote"><br><p dir="ltr">Lane Russell <<a href="mailto:lanerussell@protonmail.com">lanerussell@protonmail.com</a>> writes:</p>
<p dir="ltr">> Thanks so much for setting me straight. I've gotten IPv6 working over<br>
> my IPv4 tunnels to ensure that IPv6 traffic can't leak out while I'm<br>
> using Wireguard. Since my ISP uses SLAAC to hand out /56s, I have a<br>
> /64 pointed at the local subnet where my VPN server is. From there,<br>
> the VPN clients use my ULA prefix to talk to the server. The server<br>
> masquerades these ULA addresses to its global address.</p>
<p dir="ltr">Why are you using masquerading? Kinda defeats the whole point of IPv6,<br>
doesn't it? :)</p>
<p dir="ltr">You can just pick a public /64 from your subnet and assign that for use<br>
inside the tunnel, then give your clients addresses from that and use<br>
normal routing on the wireguard server. You'll have to get the prefix<br>
routed to your wireguard server, of course; either set that up manually,<br>
or use something like DHCP prefix delegation, or a routing daemon...</p>
<p dir="ltr">If you don't want to use a whole /64 (but really, there's no reason you<br>
shouldn't be able to), you can also use /128's inside the tunnel and<br>
just route those from your gateway to your wireguard server.</p>
<p dir="ltr">-Toke<br>
</p>
</div>