Wireguard Client unter Windows mit IPv6

Started by robgnu, September 26, 2023, 06:49:40 AM

Previous topic - Next topic
Print
Go Down Pages1
User actions
September 26, 2023, 06:49:40 AM
Guten Morgen,

mein Problem bezieht sich nicht direkt auf die OPNsense, jedoch tritt es in Verbindung mit der OPNsense auf und vielleicht hat jemand trotzdem eine Idee.

Ich habe einen Wireguard-Server für externe Arbeitsplätze konfiguriert. Dieser läuft auf der OPNsense 23.7.4 (Dualstack) absolut einwandfrei. Routing, Firewall, Handshake alles perfekt und die externen Arbeitsplätze haben den Zugriff, der benötigt wird.

Als Endpoint steht in der Config ein Domainname, der IPv4 und IPv6 auflöst. Das Problem ist, dass alle Windows-Clients (Wireguard unter Windows von der offiziellen Website) immer die Verbindung per IPv4 aufbauen. Ich hätte jedoch lieber eine IPv6 Verbindung. Alle Linux-Clients verbinden sich über IPv6.

Der Hintergrund: Vor der OPNsense steht ein LANCOM-Router der Telekom (ISDN Wandler), über den ich keine Kontrolle habe. Dieser scheint bei der Menge an NAT/UDP-Verbindungen regelmäßig Probleme zu haben. Auf jeden Fall werden alle paar Tage alle UDP-Pakete blockiert und nur ein Reboot des LANCOMs löst das Problem. Das gleiche Problem hatte ich früher auch bei OpenVPN, allerdings hat sich der OpenVPN Client i.d.R. per IPv6 verbunden und damit die LANCOM-Probleme umgangen.

Hat jemand eine Idee, weswegen sich der Windows-Client von Wireguard bei der Angabe eines FQDN immer mit IPv4 verbindet und ob es hier irgendwie/irgendwo eine Option gibt, das zu steuern?

Gruß
Robert
September 26, 2023, 08:39:00 AM #1
Mach doch für die windoof Clients einen eigenen Hostnamen der nur auf die ipv6 zeigt.


Gesendet von iPhone mit Tapatalk Pro
Internet: Willy.tel Down: 1Gbit/s, UP: 250Mbit/s Glasfaser  |
Router/Firewall: pfSense+ 23.09  |
Hardware: Netgate 6100
September 26, 2023, 10:26:36 AM #2 Last Edit: September 26, 2023, 01:12:59 PM by robgnu
Hallo Micneu,

vielen Dank für die Idee. Ich hatte das schon überlegt und ich werde es ausprobieren. Vielleicht kann man ja Windows so zu IPv6 "zwingen".

Update: Es scheint so zu funktionieren. Unter Windows nimmt der WG Client immer IPv4. Bei einem Hostnamen, der nur IPv6 auflöst, funktioniert es auch unter Windows. Der Grund ist mir weiterhin nicht klar.

Gruß
Robert
September 26, 2023, 02:49:07 PM #3
Das ist ein lange bekanntes Problem der offiziellen Windows- und Android-Clients. Die priorisieren sehr hartnäckig IPv4. Das geht nach meiner Erinnerung so weit, dass sie sogar versuchen IPv4 zu verwenden, wenn der Host gar keine IPv4-Route zum Endpoint hat (erfolglos natürlich). Das wurde auch mehrfach mit den Entwicklern diskutiert und es gibt dort leider keine Bestrebungen, das zu ändern. Mit anderen Worten: Die wollen das so. ::)

Ich umgehe das auch über AAAA-only Endpoints.

Grüße
Maurice
OPNsense virtual machine images
OPNsense aarch64 firmware repository

Commercial support & engineering available. PM for details (en / de).
Print
Go Up Pages1
User actions