VPN über IPV6 (Mac OSX)

[AlexS]

Guten Abend in die Runde,

ich bräuchte mal einen fachkundigen Rat - selber komme ich nicht mehr weiter...

Bis vor Kurzem hatte ich eine DSL Leitung von der Telekom und via Lancom Router, DynDNS und dem Lancom VPN client (MAC) prima Verbindung - Weltweit.

Seit Neuestem habe ich einen Glasfaser-Anschluss - schön schnell, ja - aber die Deutsche Glasfaser vergibt keine öffentlichen IPv4 Adressen Das wird einem Vorher leider nicht gesagt... Die Hotline sagte nur: musste halt IPv6 benutzen.
Also habe ich den Glasfaseranschluss neu konfiguriert mit IPv4 und IPv6. Zusätzlich dann noch den VPN client mit der Öffentlichen IPv6 Adresse anstelle des alten DynDns FQDN (IPv4) konfiguriert und damit konnte auch der Tunnel aktiviert werden. Soweit so gut! In dem Verbindungsprotokoll des VPN Clients steht komischerweise eine zugewiesene IPv4 Adresse aus dem Adresspool meines Intranets. Allerdings kann der Computer keinerlei Verbindungen aufbauen. Die Firewall hatte ich testweise deaktiviert, auch nix.. die Regeln hatte ich ja noch aus der alten Zeit übernommen.

Was muss ich noch einstellen, damit der entfernte Rechner via VPN auf mein Hausnetz zugreifen kann?

Ich würde gerne intern noch bei IPv4 bleiben, da der QNAP NAS nicht die Möglichkeit hat "LinkLocal IPv6" einzustellen. Ich wollte den nicht öffentlich im Internet haben.

Bitte seht mir nach, dass ich hier etwas schwimme - hatte nicht damit gerechnet so schnell das Thema IPv6 lernen zu müssen

Danke Euch und viele Grüße aus dem Norden,
Alex.

[AlexS]

Hmm... beim weiteren lesen im Netz ist mir aufgefallen, dass beim LANCOM Advanced VPN Client für Mac OS X (Version 2.05) nirgendwo die Rede von IPv6 ist?
Die Windows Variante ist da schon bei Version 3.11 und wirbt mit "Komplette IPv6-Unterstützung" - da fühle ich mich ja irgendwie schlecht behandelt Ist da ein Update in Planung?

[GrandDixence]

Die Informationen sind dürftig. Aussenstehende können nur "Glaskugel-Raten" spielen. Wird zum Beispiel: IKEv2 eingesetzt, welche LCOS-Version? Was für Informationen liefert das VPN-Trace? Sind die IKEv2/IPSec-Datenpakete mit Wireshark/Packet Capture an den beiden VPN-Endpunkte ersichtlich? Wie lauten die verwendeten IPv6-Adressen? IPv6 im LCOS des LANCOM-Routers korrekt konfiguriert?

Code: Alles auswählen

Auf dem LANCOM-Router stehen bei VPN-Tunnelaufbau-Problemen mächtige VPN-Diagnosewerkzeuge zur Verfügung:

VPN-Tunnel Regeln, Verschlüsselung und Einstellungen einsehen:

show vpn
show vpn long

VPN-Security-Policies anzeigen:

show vpn spd

VPN Ausgehandelte SAs anzeigen:

show vpn sadb

VPN tracen:

trace + vpn
trace + vpn-debug

[AlexS]

Guten Morgen GrandDixence,

Du hast natürlich recht - mehr Information hilft hier!
Der Router hat die Firmware 9.24.0070
IPv6 wurde zusammen mit IPv4 beim Aufsetzen des Routers über die Assistenten aktiviert.
Die VPN Verbindung wurde mit Hilfe des Setup-Assistenten konfiguriert: "Advanced-VPN-Client für MAC" und "1-Click-VPN" Option.
Das hat einen Tunnel mit IKEv1 angelegt. Details aus *.ini File:

Code: Alles auswählen

[PROFILE1]
Name=1781VAW-VPN_GERHARD
ConnMedia=21
ConnMode=0
PriVoIP=1
Gateway=2a00:6**0:1**d:b**1:2**0:5**f:f**e:a**3
ExchMode=4
PFS=2
UseComp=0
IkeIdType=3
IkeIdStr=VPN_GERHARD@intern
Secret=S*P*O*i*L*+*9*@*
UseXAUTH=0
IpAddrAssign=0
IKE-Policy=WIZ-PSK-AES-SHA
IPSEC-Policy=WIZ-ESP-AES-SHA
[IKEPOLICY1]
IkeName=WIZ-PSK-AES-SHA
IkeAuth=1
IkeCrypt=6
IkeHash=2
IkeDhGroup=2
[IKEPOLICY2]
IkeName=WIZ-PSK-AES-SHA
IkeAuth=1
IkeCrypt=4
IkeHash=2
IkeDhGroup=2
[IPSECPOLICY1]
IPSecName=WIZ-ESP-AES-SHA
IpsecCrypt=6
IpsecAuth=2
[IPSECPOLICY2]
IPSecName=WIZ-ESP-AES-SHA
IpsecCrypt=4
IpsecAuth=2

Die remote Seite hat einen DSL Zugang mit IPv6 und IPv4 - ohne "lite". Leider kann ich da momentan keine Log-Files erzeugen, da die Gegenstelle unterwegs ist...
Nur soviel: der VPN Client konnte eine Verbindung aufbauen und war "grün". Also hat die IPv6 Adresse des Routers und das IKE des Tunnels wohl funktioniert.
Ich glaube fast, dass ich da was Grundsätzliches übersehen habe...

Grüße,
Alex.