Messages

1

German - Deutsch / Re: OpenVPN und IPv6 Gedanken und Unverständnis

« on: February 09, 2018, 10:27:07 am »

Ah okay, sobald er erkennt, dass es IPv6 ist, passt sich die Auswahlliste mit den Präfixlängen an. Das hatte ich nicht mitbekommen, und das /64 direkt an die IPv6 gehängt - und das ging nicht.

Aber stimmt - den DHCPv6 kann man wohl nur konfigurieren, wenn die Haupt-Adresse statisch ist.

Hier der pfsense-Thread zu dem Thema: https://forum.pfsense.org/index.php?topic=133054.msg735213#msg735213

2

German - Deutsch / Re: OpenVPN und IPv6 Gedanken und Unverständnis

« on: February 09, 2018, 09:59:19 am »

Es ist mir aber zumindest in der aktuellen OPNsense Version gelungen einen Alias auf eine IPv6 Adresse anzulegen.

Wie hast du das gemacht? Bei mir sieht das so aus wie im Anhang und akzeptiert nur IPv4-Adressen.

Bei OpenWrt funktioniert das übrigens so - man definiert seinen ULA-Prefix zentral an einer Stelle, und alle Interfaces die IPv6 nutzen, bekommen dann automatisch zusätzlich diese ULA-Adresse mit der gleichen Prefix-ID wie die globale Adresse.

Ich hab das dann bei mir so gemacht:

IPv4: 192.168.90.0/24
IPv6 Global: 2001:db8:abcd:ab90::/64
IPv6 Lokal: fd67:2389:c0fb:90::/64

Und das nächste Netz hat dann überall die 91, und das nächste dann die 92.

(Die häufiger verwendeten privaten Netze versuche ich zu vermeiden, da das dann unterwegs Probleme machen kann, wenn das gleiche Netz lokal verwendet wird, wie das wo ich mich per VPN hin verbinden will. Und ebenso vermeide ich zu Hause die privaten Netze, die @work verwendet werden.)

Mal sehen, ob ich das irgendwie auch mit opnsense hinbekomme.

3

German - Deutsch / Re: OpenVPN und IPv6 Gedanken und Unverständnis

« on: February 08, 2018, 12:15:25 pm »

Hallo,

ich würde OpenVPN gern zusätzlich über IPv6 verfügbar machen. Hat damit jemand Erfahrungen? Speziell interessiert mich: Wie bekomme ich Zugriff auf mein LAN vom VPN Client aus?

Eigentlich ganz einfach. Zusätzlich zu der Global-Unicast-Adresse vergibst du jedem Gerät noch eine Unique Local Unicast. Diese sind statisch, und diese trägst du in deinem lokalen DNS ein.

Alle meine IPv6 Clients beziehen eine global unicast und werden über den radvd der sense konfiguriert. Da ich bei jeder Einwahl vom Provider ein neues Präfix bekomme, müsste ich den VPN Server ja jedes mal neu konfigurieren.

Genau - da OpenVPN leider keinen Präfix selbst beziehen kann, und den VPN-Clients leider auch nicht zwei Adressen zuteilen kann.

Bei OpenWrt hatte ich das bei mir so gelöst, dass bei Neueinwahl der VPN-Dienst neu gestartet wird, und dieser sich beim Starten den aktuellen Präfix holt und diesen benutzt. Die VPN-Clients werden bei Neueinwahl eh getrennt, und bekommen dann bei der nächsten Verbindung eine gültige Global Unicast.

So können die VPN-Clients auch auf die Unique Local Unicast-Adressen in deinem LAN zugreifen, die sie per DNS erhalten. Ein IPv6-NAT ist nicht nötig, da die Geräte in deinem LAN automatisch die Global Unicast verwenden, sobald sie außerhalb deines Netzwerkes Verbindungen aufbauen wollen.

Allerdings bin ich noch neu bei OPNsense und suche gerade noch die passenden Stellen, um mir sowas einzubauen.

Wobei das ja mMn. auch sinnlos wäre, weil ich mich durch global unicasts eh direkt mit jedem meiner Rechner ohne eine VPN Verbindung connecten kann, wenn ich die entsprechenden Rules habe.

Ohne VPN wären die Zugriffe erstens nicht verschlüsselt, und zweitens nicht authentifiziert. Und wenn ich von unterwegs auf meinen Kram zugreifen will, habe ich unterwegs selten statische IP-Adressen (weder v4 noch v6) um diese vorher in den Firewall-Regeln einzutragen. Daher macht das mit VPN schon Sinn, und es funktioniert auch (habs aktuell mit OpenWrt genau so laufen).

Dann hätte ich aber gewissermaßen nix anderes als IPv4 und müsste ja dann von meinem unique local Netz auf eine unique global Adresse natten, wenn die Clients ins Internet sollen?

Nein, der Trick ist, dass jedes Gerät eine Globale und eine Lokale Adresse bekommt.

Außerdem kann ich einem Interface auch nicht gleichzeitig ne statische unique local UND eine unique global Adresse geben, oder?

Eigentlich geht das. Das geht bei OpenWrt, das geht bei pfSense (dort über Virtual IPs/IP Alias), nur bei OPNsense bekomme ich das leider nicht über die GUI hin (IP-Alias erlaubt mir nur IPv4-Adressen).