IPv6 site-to-site VPN, WAN-profile vs WAN-schnittstellen

[roell.f]

hallo forum,

bei der einrichtung eines IPv6 site-to-site VPN wird mir bei den IPv6-Inbound-Regeln unter Quell-Stationen keine geeignete station zur auswahl angeboten.

als ursache vermute ich, dass in der von mir verwendeten anleitung eine WAN-Schnittstelle mit parameter Interface-Name konfiguriert wird, aber im aktuellen LCOS nur ein WAN-Profil mit parameter Profilname konfigurierbar ist.

meine fragen:

• wo und wie muss man eine quellstation "FILIALE" anlegen, damit sie bei den IPv6-Inbound-Regeln ausgewählt werden kann?
• muss auch beim neuen LCOS ein WAN-Profil angelegt werden?
  • wie muss das profil aussehen?
  • wird noch an anderer stelle in der konfiguration auf dieses profil bezug genommen?

beste grüße
frank

[Dr.Einstein]

bei der einrichtung eines IPv6 site-to-site VPN wird mir bei den IPv6-Inbound-Regeln unter Quell-Stationen keine geeignete station zur auswahl angeboten.

Aber wenn du einfach ein IPv6-Stations-Objekt anlegst, Typ Gegenstelle, und dann die VPN-Gegenstelle auswählst, ist alles okay für dich? Ehrlich gesagt habe ich es nie anders gemacht. In der Anleitung steht zwar was drin von manuell den Gegenstellennamen eintragen, ich halte das aber für einen Dokumentationsfehler (kann mich natürlich irren).

[roell.f]

hallo Dr. Einstein,

Aber wenn du einfach ein IPv6-Stations-Objekt anlegst, Typ Gegenstelle, und dann die VPN-Gegenstelle auswählst, ist alles okay für dich?

vorweg: ich verwende wegen des ULA-problems keine ULAs sondern GUAs aus dem doku-bereich (2001:db8:...) - also so eine art "pseudo-ULA".

deinen rat habe ich wie folgt umgesetzt:

stationsobjekte, zentrale

stations-obj,zen,50%.png

stationsobjekte, zentrale

stations-obj,fil,50%.png

wegen begrenzung der anzeigbaren bilder weiter im nächsten beitrag ...

[roell.f]

zentrale

inbound,zen,50%.png

filiale

inbound,fil,50%.png

doch leider funktioniert das routing noch nicht:

Code: Alles auswählen

tracert 2001:db8:f2a1:c:20c:29ff:fe06:9228

Routenverfolgung zu srv1.zentrale.org [2001:db8:f2a1:c:20c:29ff:fe06:9228]
über maximal 30 Hops:

  1    <1 ms    <1 ms    <1 ms  gwy1.filiale.org [2001:db8:e9c7:c:2a0:57ff:fe85:d36a]
  2     *        *        *     Zeitüberschreitung der Anforderung.

weiter

[roell.f]

das routing sieht so aus:

zentrale

routing.zen,50%.png

filiale

routing.fil,50%.png

[roell.f]

zentrale

verbindung,zen,50%.png

filiale

verbindung,fil,50%.png

dabei fällt auf, dass

1. die regelerzeugung nicht wie in der anleitung auf "automatisch" sondern vom
   wizzard auf "manuell" gesetzt wurde und
2. die IPv6-regeln leer sind.

was also fehlt / ist falsch?

beste grüße
frank

[Dr.Einstein]

Wenn Regelerzeugung auf manuell steht, muss auch eine passende IPv6-Regel im VPN Peer existieren. Sonst baut sich beim VPN-Aufbau nur eine v4 SA auf, keine v6 SA.

Wenn du denkst, dass das Routing geht, die Firewall aber nicht:

Code: Alles auswählen

trace # IPv6-Firewall

Wenn du denkst, es klemmt schon am Routing:

Code: Alles auswählen

trace # IPv6-Router

evtl auch den IPv6-Packet-Trace.

[roell.f]

hallo Dr. Einstein,

Wenn Regelerzeugung auf manuell steht, muss auch eine passende IPv6-Regel im VPN Peer existieren. Sonst baut sich beim VPN-Aufbau nur eine v4 SA auf, keine v6 SA.

1. wie müssen diese beiden IPv6-regeln aussehen?
2. oder soll ich die IPv4-regel löschen und die regelerzeugung auf automatisch stellen?

welche der beiden vorgenannten varianten ist vorzuziehen und warum?

wofür steht "SA"?

auf der zentrale erfasste traces ausgelöst mit:

Code: Alles auswählen

ip -6 a
    ...
    inet6 2003:c4:872a:950c:20c:29ff:fe06:9228/64 scope global dynamic mngtmpaddr 
    inet6 2001:db8:f2a1:c:20c:29ff:fe06:9228/64 scope global dynamic mngtmpaddr 
    inet6 fe80::20c:29ff:fe06:9228/64 scope link 
    ...

ping -c 1 2001:db8:e9c7:c:4a21:bff:fe6b:aa0a

trace # IPv6-Firewall

Code: Alles auswählen

[IPv6-Firewall] 2025/05/14 15:08:05,748 [info] : 
The packet below, received from INTRANET scope global
Internet Protocol Version 6
  Payload length: 64
  Traffic class: 0x00 (DSCP: CS0, ECN: Not-ECT)
  Next header: ICMPv6 (58)
  Hop limit: 63
  Source: 2001:db8:f2a1:c:20c:29ff:fe06:9228
  Destination: 2001:db8:e9c7:c:4a21:bff:fe6b:aa0a
Internet Control Message Protocol
  Type: Echo (ping) request (128)
  Code: 0
  Checksum: 0x9675
  Identifier: 6810
  Sequence number: 1
matched FORWARDING rule ALLOW-VPN
OK

trace # IPv6-Router

Code: Alles auswählen

[IPv6-Router] 2025/05/14 15:35:39,253 [INTRANET (2)]
IP packet, scope global, routing tag 0:
  IPv6: 2001:db8:f2a1:c:20c:29ff:fe06:9228 -> 2001:db8:e9c7:c:4a21:bff:fe6b:aa0a, Payload-Len: 64
  ICMP: Echo (ping) request (128), ID: 7007, Seq: 1
--> Creating destination cache entry of type firewall forwarding
--> Creating firewall mirror destination cache entry of type firewall forwarding for address 2001:db8:f2a1:c:20c:29ff:fe06:9228 on interface FILIALE (6)
--> Firewall: accepted, forwarded unicast via FILIALE (6)

trace # IPv6-Packet

Code: Alles auswählen

[IPv6-Packet] 2025/05/14 15:54:06,777 [INTRANET (2)]
IP packet, scope global, routing tag 0:
  Internet Protocol Version 6
    Payload length: 64
    Traffic class: 0x00 (DSCP: CS0, ECN: Not-ECT)
    Next header: ICMPv6 (58)
    Hop limit: 64
    Source: 2001:db8:f2a1:c:20c:29ff:fe06:9228
    Destination: 2001:db8:e9c7:c:4a21:bff:fe6b:aa0a
  Internet Control Message Protocol
    Type: Echo (ping) request (128)
    Code: 0
    Checksum: 0x71de
    Identifier: 7110
    Sequence number: 1

ich kann mit den obenstehenden traces keine fehler finden, was auch an meinen geringen kenntnissen liegen mag

auf der filial-seite enthielten die traces "IPv6-Firewall" und "IPv6-Router" keine einträge entsprechend Source und Destination.

ich weiß nicht weiter ...

beste grüße
frank

[Frühstücksdirektor]

Die Regelerzeugung sollte auf "manuell" gestellt werden.
In deinen Screenshots hast du nur IPv4-VPN-Regeln und keine IPv6-VPN-Regeln, ergo keine IPv6 SAs (Security Association).
Lösche die IPv4-Regel im VPN-Eintrag. Dann wählts Du in der VPN-Gegenstelle für den Parameter IPv6 "RAS-WITH-NETWORK-SELECTION" (ist vordefiniert) aus.
Das entspricht ::/0 <=> ::/0, das ist wiederum äquivalent zu 0.0.0.0/0 <=> 0.0.0.0/0 im IPv4.
Alternativ kannst Du selbst eine IPv6-Regel damit anlegen.

[roell.f]

hallo Frühstückdirektor,

wonach ich suchte war das:

... in der VPN-Gegenstelle für den Parameter IPv6 "RAS-WITH-NETWORK-SELECTION" ...

ich habe es ein klein wenig anderes gemacht:
zentrale

verbindung,OK,zen,50%.png

filiale

verbindung,OK,fil,50%.png

die IPv4-regel "WIZ-ANY-TO-ANY" wurde wohl seinrzeit vom wizzard erzeugt und ist ein doublette zu "RAS-WITH-NETWORK-SELECTION". deswegen habe ich sie gänzlich entfernt und durch "RAS-WITH-NETWORK-SELECTION" ersetzt. ich habe die IPv4-regel nicht wie vorgeschlagen gelöscht, weil ich auch im VPN beides, d.h. IPv4 und IPv6 haben wollte.

bei der IPv6-regel habe ich ebenfalls die zu IPv4 gleichlautende regel "RAS-WITH-NETWORK-SELECTION" eingetragen.

es ist wichtig diese regeln sowohl auf der zentral- als auch auf der filialseite zu verwenden. fehlt sie auch nur auf einer seite, dann kommt keine kommunikation zustande, egal in welche richtung.

ach ja, wenn das nur alles so in der LANCOM-doku stünde bzw. so vom wizzard erzeugt würde, ...

nochmal herzlichen dank an frühstücksdirektor und dr. einstein für die schnelle und kompetente hilfe.

beste grüße
frank