OpenVPN mit IPV6

[jeans]

Hallo,

ich habe seit neuestem einen IPv6 Anschluß und muss jetzt für OpenVPN auch IPV6 nutzen.

Leider scheint der OpenVPN Server nicht auf IPV6 zu hören.
Ich habe auf der OPNSens mit netstat -ln geschaut und dort habe ich keinen offenen Port auf 1194 gefunden außer für IPV4.

Hier mein Aufbau:

Code Select Expand


WAN / Internet
            :
            : Deutsche Glasfaser DSL/LITE
            :
      .-----+-----.
      |  FritzBox |  IPV6 mit nem /56 Präfix (DHCP aber bleibt gleich)
      '-----+-----'
            |
        10.0.0.1/24
            |
      .-----+------.     
      |  OPNsense  |   --> WAN IP: 10.0.0.1 und 2a00:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:6891/64
      '-----+------'
            |
        Trunk mit versch. VLANs
            |
      .-----+------.
      | LAN-Switch |
      '-----+------'
            |
    ...-----+------... (Clients/Servers)


Die OPNSense ist in der Fritbox als exposed Host eingetragen.
Die FW Regel auf dem WAN interface ist auch für die 2a00:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:6891 auf Port 1194 freigegeben und kommt auch im LOG an.

Eigentlich wollte ich den OpenVPN Server auch nur mit UDP6 starten, das geht nicht, da er anscheinend kein passendes Interface findet.

Ich vermute ich muss dem OpenVPN Server jetzt nur noch irgendwie die IPV6 Adresse beibringen auf die er hören soll, ich weiß nur leider nicht wie.

Wenn ich irgendwelche Infos liefern soll, bitte einfach fragen.

Danke und Grüße
Jens

[tiermutter]

Gibt es denn eine Meldung wenn Du den Server auf UDP6 erstellst, bzw was sagen die Logs?
Ich habe zwei OVPN Server auf diese Weise laufen und keine Probleme. Einziger Unterschied bei mir ist dass ich keine Fritte vor der Sense habe sondern nur das Modem.

[jeans]

das sind einiger der Meldungen wenn ich nur mit UDP6 starte:

Code Select Expand


2022-01-02T12:18:49 openvpn[95998] /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkdown ovpns1 1500 1621 10.10.253.1 10.10.253.2 init
2022-01-02T12:18:49 openvpn[95998] Exiting due to fatal error
2022-01-02T12:18:49 openvpn[95998] TCP/UDP: Socket bind failed on local address [AF_INET6]fe80::20d:b9ff:fe47:6891:1194: Can't assign requested address (errno=49)
2022-01-02T12:18:49 openvpn[95998] setsockopt(IPV6_V6ONLY=0)
2022-01-02T12:18:48 openvpn[95998] /usr/local/etc/inc/plugins.inc.d/openvpn/ovpn-linkup ovpns1 1500 1621 10.10.253.1 10.10.253.2 init
2022-01-02T12:18:47 openvpn[95998] /sbin/ifconfig ovpns1 inet6 -ifdisabled
2022-01-02T12:18:46 openvpn[95998] /sbin/ifconfig ovpns1 inet6 2a00:xxxx:xxxx:xxxx:yyyy:yyyy:yyyy:6893/64 mtu 1500 up
2022-01-02T12:18:46 openvpn[95998] /sbin/ifconfig ovpns1 10.10.253.1 10.10.253.2 mtu 1500 netmask 255.255.255.255 up


mit UDP6 startet er nicht was mich hier wundert, ist, dass er sich mit der Link localen verbinden will und kann es nicht

[tiermutter]

Hast du mal neu gestartet oder einen anderen Port versucht?

[jeans]

ja, habe ich beides schon gemacht, leider auch erfolglos

[tiermutter]

Hm, ich hatte auch mal das Problem dass er die link local verwenden wollte, weiß aber nicht mehr warum und was ich dagegen gemacht habe.
Hast du eine v6 Tunnel Adresse konfiguriert?

[jeans]

Bisher war das WAN Interface für IPv6 auf DHCP gestanden (weil ich das irgendwo gelesen habe) ich habe jetzt hier die externe IP die das WAN Interface bisher per DHCP bekommen hat als statische IPV6 IP eingetragen und jetzt startet OpenVPN mit UDP6 und lauscht auf dem WAN Interface auch auf den Port.

Jetzt bin ich schonmal einen Schritt weiter.
Ich hoffe der statische Eintrag mit ner externen IPV6 ist an der Stelle auch richtig .....

[tiermutter]

Hm, verstehe ich nicht warum es auf diese Weise geht...
Wird natürlich blöd wenn Du doch mal ein anderes Prefix zugewiesen bekommst, bei DG passiert mir das soweit ich beobachten konnte etwa 2x im Jahr.

[Patrick M. Hausen]

Lass den OpenVPN server doch auf ::1 lauschen und lege ein Port-Forward NAT an.