Home
Help
Search
Login
Register
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OpenVPN (Road-Warrior) per IPv6 (DS-Lite) an OPNsense 21.7.5 betreiben / Routing
« previous
next »
Print
Pages: [
1
]
Author
Topic: OpenVPN (Road-Warrior) per IPv6 (DS-Lite) an OPNsense 21.7.5 betreiben / Routing (Read 3273 times)
Thomas B.
Newbie
Posts: 4
Karma: 0
OpenVPN (Road-Warrior) per IPv6 (DS-Lite) an OPNsense 21.7.5 betreiben / Routing
«
on:
November 11, 2021, 07:02:07 pm »
Hallo zusammen,
sollte ich wichtige Informationen vergessen haben so bitte ich um Nachsicht. Gerne liefere ich diese nach.
Hardware:
Fritz!Box 7530
Zotac ZBOX CI-329NANO (Intel Celeron N4100 4x1.1Ghz 8GB RAM)
Netzwerkstruktur:
Internet
:
WAN: DSL (DS-Lite) IPv6 /56 Präfix
:
.-----+----------------.
| Modem/ Gateway | (FB 7530)
'-----+----------------'
|
LAN1 | 192.168.10.0/24 DHCP // DHCPv6 DNS-Server und IPv6-Präfix (IA_PD) zuweisen
|
|WAN-Port
| IPv6 DHCP
| (x) Request only an IPv6 prefix // Prefix delegation size 62 // (x) Send IPv6 prefix hint
.-----+------. .----------------------------------------------------.
| OPNsense +-----------------+ OpenVPN-Server (Remote Access tun UDP) |
'-----+------' '-----------------------------------------------------'
| LAN-Port 10.10.12.0/24 fe80::/64
| IPv6 Track Interface
|
LAN2 | 192.168.11.0/24 DHCP
Ziel:
OpenVPN per IPV6 auf der OPNsense erreichen.
Problem:
Wie schon kurz erwähnt ist es mein Ziel eine Verbindung aus dem Internet per IPv6 zum OpenVPN Server im Remote Access Modus herzustellen.
Hierzu wurde zu Testzwecken speziell eine Domain präpariert die nur einen AAAA-Record per DynDNS erhält.
Aufgezeichnet wird die IPv6 von LAN2 an den OPNsense.
Zu Testzwecken habe ich an der FritzBox "PING6" und "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen" sowie auf der OPNsense auf WAN ICMP freigegeben konfiguriert.
Damit ist es möglich aus dem Internet im LAN2 befindliche Geräte über ihre globale IPv6 zu pingen. Was bedeutet das die Datenpakete prinzipiell ihren Weg ins LAN2 finden.
Auch über die Domain kann ich nachgelagerte Geräte hinter der OPNsense erreichen mit entsprechend eingerichteten Portweiterleitungen per Alias (MAC).
Über eine testweise hergestellte WAN Verbindung per Public IPv4 (DS) konnte ich eine Verbindung zu den OpenVPN Server herstellten.
Versuche ich jedoch per globale IPv6 LAN2 Adresse bzw. die Domain zu verbinden passiert nichts.
Im Firewall Log erhalte ich einen entsprechend "grünen" Eintrag zum Zeitpunkt des Verbindungsversuches. Jedoch kommt das Paket aus irgendwelchen Gründen anscheinend nicht bis zum OpenVPN Server.
Im Log des OpenVPN taucht kein Eintrag auf.
Was habe ich vergessen zu konfigurieren?
Gern liefere ich noch mehr Konfigurationen nach die für eine genauere Analyse gebraucht werden.
Vorab tausend DANK für den entsprechenden Gedankenanstoß der zur Lösung führt.
«
Last Edit: November 11, 2021, 08:38:55 pm by Thomas B.
»
Logged
OPNsense 24.1.10_8 (Proxmox VM)
micneu
Hero Member
Posts: 1912
Karma: 59
Re: OpenVPN (Road-Warrior) per IPv6 (DS-Lite) an OPNsense 21.7.5 betreiben
«
Reply #1 on:
November 11, 2021, 07:40:24 pm »
einen OpenVPN/oder was auch server bei einer DS-Lite leitung zu hosten kannst du vergessen, nach meinem wissenstand wird das nicht klappen. solltest du noch hare haben die NICHT grau sind, lass es lieber (solltest du keine haare mehr haben kannst du es gerne weiter versuchen). viel spaß
PS: ich denke du hast die forum suche nicht genutzt, da wirst du einige beiträge finden.
Logged
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser |
Router/Firewall: pfSense+ 23.09 |
Hardware: Netgate 6100
Thomas B.
Newbie
Posts: 4
Karma: 0
Re: OpenVPN (Road-Warrior) per IPv6 (DS-Lite) an OPNsense 21.7.5 betreiben
«
Reply #2 on:
November 11, 2021, 08:08:52 pm »
Hallo Micneu,
habe die Suchfunktion natürlich nach bestimmten Schlagwörtern wie OpenVPN, DS-Lite und IPv6 durchsucht um Doppel Post zu vermeiden.
Einiges ging natürlich in die Richtung jedoch konnte ich bei meinen Sichtungen nicht die Ursache finden was hier eigentlich die generelle Problem ist.
(Kann natürlich sein das ich etwas überlesen bzw. mein Verständnis aufgrund des gewählten Wordings nicht gegriffen hat
)
1. Liegt es an OPNsense selbst das das integrierte OpenVPN kein reines IPv6 bedienen kann?
2. Sollte ich alternativ an einem nachgelagerten Gerät einen OpenVPN Server betreiben?
3. Ist der reine DS-Lite Anschluss das Problem // Sollte das AFTR Gateway um IPv4 in IPv6 zu kapseln abgeschaltet werden?
Logged
OPNsense 24.1.10_8 (Proxmox VM)
tiermutter
Hero Member
Posts: 1099
Karma: 61
Re: OpenVPN (Road-Warrior) per IPv6 (DS-Lite) an OPNsense 21.7.5 betreiben / Routing
«
Reply #3 on:
November 11, 2021, 09:46:56 pm »
DSlite, CGNAT hin oder her, es ist kein Problem einen VPN Server auf v6 laufen zu lassen, habe ich hier auch im Einsatz (2x OpenVPN und 2x Wireguard), allerdings ohne Fritte davor, aber das sollte kein Problem sein.
Quote
Versuche ich jedoch per globale IPv6 LAN2 Adresse bzw. die Domain zu verbinden passiert nichts.
Der Server sollte auf dem WAN Interface lauschen, damit ist auch die IP des WAN Interface (der Sense) zu verwenden und nicht die des LAN. Die Fritte muss das natürlich durchlassen, ich würde die Sense hier als Exposed Host angeben, dann sollte das klappen.
Logged
i am not an expert... just trying to help...
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: OpenVPN (Road-Warrior) per IPv6 (DS-Lite) an OPNsense 21.7.5 betreiben / Routing
«
Reply #4 on:
November 12, 2021, 02:03:19 pm »
Netzwerkstruktur:
Internet
:
WAN: DSL (DS-Lite) IPv6 /56 Präfix
:
Hier fängt die Frage an sich ja schonmal an. IP4 oder IP6 mal ganz ignoriert: das ist DSL mit DS Lite, oder? Also wird sich ggf. das IPv6 Prefix ständig ändern? Oder hast du seltenerweise ein statisches IP6 Prefix bekommen das stabil bleibt? Wenn nicht, wird das ganze schonmal richtig unlustig da bei jedem Prefix Wechsel du damit ne neue IP6 hast auf der der OVPN Server hören müsste. Aber noch ungünstiger ist dann, dass du für OpenVPN auch Tunnel Netze oder interne v6 Netze konfigurieren musst, die erreichbar sein müssen. Klar, du kannst da fd00-type ULAs nutzen statt globalen (GUA) IP6 Adressen die routbar sind. Das kann man dann noch recht OKish konfigurieren. Aber es wird trotzdem recht fummelig das alles halbwegs dynamisch einzurichten.
> DSlite, CGNAT hin oder her, es ist kein Problem einen VPN Server auf v6 laufen zu lassen
Nö per se erstmal nicht. Aber es bringt nicht viel Freude wenn man nur mühsam die GUAs nutzen kann weil sie sich ständig ändern und man nirgends was fest konfigurieren kann. Und in vielen Diensten oder Komponenten kann man bislang keine dynamischen oder tracking Adressen konfigurieren.
Cheers
«
Last Edit: November 12, 2021, 02:04:51 pm by JeGr
»
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
tiermutter
Hero Member
Posts: 1099
Karma: 61
Re: OpenVPN (Road-Warrior) per IPv6 (DS-Lite) an OPNsense 21.7.5 betreiben / Routing
«
Reply #5 on:
November 12, 2021, 02:16:04 pm »
Klar, "ständige" Prefixwechsel sind schon lästig, ohne DDNS geht hier nichts.
IPv6 damit im Tunnel zu nutzen ist schon richtig Schrott, aber wenn nur IPv4 getunnelt wird sehe/habe ich hier keine Probleme um auf mein Netz zuzugreifen, dafür verwende ich ohnehin nur v4.
v6 zu tunneln habe ich entsprechend aufgegeben, der Traffic geht also am Tunnel vorbei und ist in dem Sinne unsauber. Für den Fernzugriff auf das Netz finde ich das aber nicht dramatisch, und das ist zumindest mein Ziel.
Wenn das Ziel ist sämtlichen Traffic zu tunneln: keine Frage, damit wird es wirklich unlustig
Da fällt mir ein, dass ich letztens erst bei meinem Provider angefragt habe, ob ich nicht eine statische v6 bekommen kann... seit Wochen keine Antwort, müsste ich nochmal nachhaken
Logged
i am not an expert... just trying to help...
JeGr
Hero Member
Posts: 1945
Karma: 227
old man standing
Re: OpenVPN (Road-Warrior) per IPv6 (DS-Lite) an OPNsense 21.7.5 betreiben / Routing
«
Reply #6 on:
November 12, 2021, 02:23:44 pm »
> Klar, "ständige" Prefixwechsel sind schon lästig, ohne DDNS geht hier nichts.
Nervig aber noch "machbar". Nur dann kann man halt mit den GUAs intern gar nichts wirklich anfangen, weil das aktuell nirgends vorgesehen ist, leider.
> IPv6 damit im Tunnel zu nutzen ist schon richtig Schrott, aber wenn nur IPv4 getunnelt wird sehe/habe ich hier keine Probleme um auf mein Netz zuzugreifen, dafür verwende ich ohnehin nur v4.
Sehe ich nicht so. IPv6 hat weniger Overhead vom Protokoll als v4. Wenn ich als Tunnel Netz ein ULA nehme ist das erstmal kein Problem. Zusätzlich nen IPv4 Subnetz und dann kann man eingewählt v4 und v6 intern nutzen - oder tatsächlich mal damit rumspielen, vielleicht ein Subnetz v6 only zu bespaßen und zu schauen wie es läuft.
> Für den Fernzugriff auf das Netz finde ich das aber nicht dramatisch, und das ist zumindest mein Ziel.
Wenn das Ziel ist sämtlichen Traffic zu tunneln: keine Frage, damit wird es wirklich unlustig
klar aber ich weiß in dem Fall natürlich nicht, was das Ziel des OP ist. Wenn dann nämlich dazu kommt, dass man sich per VPN einwählen und dann das Internet "normal" nutzen möchte - uh dann wir das unangenehm. Geht zwar aber frickelig.
> Da fällt mir ein, dass ich letztens erst bei meinem Provider angefragt habe, ob ich nicht eine statische v6 bekommen kann... seit Wochen keine Antwort, müsste ich nochmal nachhaken
Drücke die Daumen. Das wäre immer noch ein Träumchen wenn man wenigstens bei IPv6 den Widerstand aufgeben könnte nach statischen Adressen. Oder wie die RIPE und ARIN schonmal vorgeschlagen hatten: ISPs sollen einfach 2 Prefixe ausgeben. Ein dynamisches und ein statisches, das Leute dann intern verbauen können und nach Wunsch extern auf das dynamische mappen. Dann ist ausgehend der Traffic immer mal wieder anders durchs DynPrefix aber eingehend klappt mit staticPrefix alles weiter. Haben die ISPs aber wild mit den Händen gewedelt. :/
Logged
"It doesn't work!" is no valid error description!
- Don't forget to [applaud] those offering time & brainpower to help you!
Better have some *sense as no(n)sense!
If you're interested in german-speaking business support, feel free to reach out via PM.
Print
Pages: [
1
]
« previous
next »
OPNsense Forum
»
International Forums
»
German - Deutsch
»
OpenVPN (Road-Warrior) per IPv6 (DS-Lite) an OPNsense 21.7.5 betreiben / Routing