Hallo zusammen,
nach langem zögern habe ich begonnen IPv6 einzuführen, bzw zu nutzen und ärgere mich, dass ich nicht vorher begonnen habe. Grund damit zu starten war zunächst die CarrierGradeNAT Geschichte, diverser MTU-Hassel, etc.
Die IPv6 Einwahlen mit Lancom Advanced VPN Client oder IOS funktionieren wirklich perfekt. Wenn ich aber ein IPv4 S2S-VPN über IPv6 aufbaue steht der Tunnel zwar, aber es gehen keine Pakete durch.
Ich habe im Prinzip den Tunnel so eingerichtet wie bei v4 und als Endpunkt v6 genommen. So wie auch hier beschrieben:
https://www.lancom-systems.de/docs/LCOS ... _ipv6.html
Tunnel steht, keine Datenfluss.
Jetzt stehe ich vor der Frage, welche Traces sind am besten. Ist es eher ein VPN-Thema oder IPv4 Routing oder IPv6 Routing. Mir sind die Zusammenhänge da noch unklar. Vielleicht kann mir jemand einen Tipp geben!?
VG
Andreas
IPv4 S2S-Tunnel durch IPv6 Anbindung, kein Datenfluss
Moderator: Lancom-Systems Moderatoren
Re: IPv4 S2S-Tunnel durch IPv6 Anbindung, kein Datenfluss
Hallo zusammen,
leider bin ich bei dem Thema noch keinen Schritt weiter.
Ich habe mir ein Testsetting aufgebaut:
Standort 1 (192.168.1.208) pingt Standort 2 (192.168.12.200)
Die Pakete gehen also durch den Tunnel, kommen an und werden beantwortet. Die Antwort erreicht die Gegenstelle aber nicht.
Also VPN-Paket-Trace
Gleiches Bild, Pakete gehen durch.
Stelle ich den Tunnel auf IPv4 um (nur durch Austausch der Tunnelend-IP V6 durch V4) klappt alles.
Jemand ne Idee??
Viele Grüße,
Andreas
leider bin ich bei dem Thema noch keinen Schritt weiter.
Ich habe mir ein Testsetting aufgebaut:
Standort 1 (192.168.1.208) pingt Standort 2 (192.168.12.200)
Code: Alles auswählen
## 1 > 2
[IP-Router] 2022/08/06 10:46:36,487
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 192.168.12.200, SrcIP: 192.168.1.208, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0xa214
Route: WAN Tx (GW001.RZ3.IPV6)
## 2 > 1
[IP-Router] 2022/08/06 10:46:37,065
IP-Router Rx (GW001.BRU.IPV6, RtgTag: 0):
DstIP: 192.168.12.200, SrcIP: 192.168.1.208, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0xa214
Route: LAN-1 Tx (INTRANET)
[IP-Router] 2022/08/06 10:46:37,066
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 192.168.1.208, SrcIP: 192.168.12.200, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo reply, id: 0x0001, seq: 0xa214
Route: WAN Tx (GW001.BRU.IPV6)
Also VPN-Paket-Trace
Code: Alles auswählen
## 1 > 2
[VPN-Packet] 2022/08/06 10:52:16,465 [INTRANET (3)]
ICMP (1) packet, scope global, routing tag 0, thread 150 VPN-Catcher/0:
Internet Protocol Version 4
Header length: 20
Total length: 60
Payload length: 40
DiffServ field: 0x00 (DSCP: CS0, ECN: Not-ECT)
Identification: 0x6392
Flags: 0x0000
Fragment offset: 0
Time to live: 127
Protocol: ICMP (1)
Header checksum: 0x4846
Source: 192.168.1.208
Destination: 192.168.12.200
Internet Control Message Protocol
Type: Echo (ping) request (8)
Code: 0
Checksum: 0xaafe
Identifier: 1
Sequence number: 41564
--> passed to encryption stack
## 2 > 1
[VPN-Packet] 2022/08/06 10:52:17,069 [GW001.BRU.IPV6 (9)]
Decrypted ICMP (1) packet, scope global, routing tag 0, thread 210 SEC-Controller/0:
IPv4: 192.168.1.208 -> 192.168.12.200, Total-Len: 60
ICMP: Echo (ping) request (8), ID: 1, Seq: 41564
Binary Data: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70
--> Forward packet to IPv4 context
[VPN-Packet] 2022/08/06 10:52:17,070 [INTRANET (2)]
ICMP (1) packet, scope global, routing tag 0, thread 133 VPN-Catcher/0:
Internet Protocol Version 4
Header length: 20
Total length: 60
Payload length: 40
DiffServ field: 0x00 (DSCP: CS0, ECN: Not-ECT)
Identification: 0x135f
Flags: 0x0000
Fragment offset: 0
Time to live: 127
Protocol: ICMP (1)
Header checksum: 0x9879
Source: 192.168.12.200
Destination: 192.168.1.208
Internet Control Message Protocol
Type: Echo (ping) reply (0)
Code: 0
Checksum: 0xb2fe
Identifier: 1
Sequence number: 41564
--> passed to encryption stack
Stelle ich den Tunnel auf IPv4 um (nur durch Austausch der Tunnelend-IP V6 durch V4) klappt alles.
Jemand ne Idee??
Viele Grüße,
Andreas
-
Dr.Einstein
- Beiträge: 3224
- Registriert: 12 Jan 2010, 14:10
Re: IPv4 S2S-Tunnel durch IPv6 Anbindung, kein Datenfluss
Hey Andreas,
da ich gerade nicht so 100% weiß, auf welcher Seite der Fehler aus welchem Grund liegen könnte, vielleicht folgende Idee:
Erstelle ein Paket Capture der WAN Schnittstelle beider Lancom Router. Sorge aber bitte dafür, dass in der Zeit kein Traffic über den VPN geht, sprich sei du selbst via WAN auf dem Router und nicht via VPN. Sende während deines PCAP Mitschnitts im gleichen Abstand deine Pings los.
Trotz der verschlüsselten ESP Pakete solltest du aufgrund der Größe und Gleichmäßigkeit schnell erkennen, ob der Ping an Seite B wieder losgeschickt wird, und/oder an Seite A wieder ankommt. Wenn die problematische Seite identifiziert ist, kommen wir vielleicht einen Schritt weiter (lügt der VPN Pakettrace, bzw. müsste hier etwas auffallen? Sendet vielleicht Seite A irgendwas mit ICMP-Port blocked..)
Ansonsten eher ratlos. Würde da Lancom einbinden. Welche Firmware nutzt du?
Gruß Dr.Einstein
da ich gerade nicht so 100% weiß, auf welcher Seite der Fehler aus welchem Grund liegen könnte, vielleicht folgende Idee:
Erstelle ein Paket Capture der WAN Schnittstelle beider Lancom Router. Sorge aber bitte dafür, dass in der Zeit kein Traffic über den VPN geht, sprich sei du selbst via WAN auf dem Router und nicht via VPN. Sende während deines PCAP Mitschnitts im gleichen Abstand deine Pings los.
Trotz der verschlüsselten ESP Pakete solltest du aufgrund der Größe und Gleichmäßigkeit schnell erkennen, ob der Ping an Seite B wieder losgeschickt wird, und/oder an Seite A wieder ankommt. Wenn die problematische Seite identifiziert ist, kommen wir vielleicht einen Schritt weiter (lügt der VPN Pakettrace, bzw. müsste hier etwas auffallen? Sendet vielleicht Seite A irgendwas mit ICMP-Port blocked..)
Ansonsten eher ratlos. Würde da Lancom einbinden. Welche Firmware nutzt du?
Gruß Dr.Einstein