IPv6 über VPN zu FRITZ!Box

[averlon]

mmh - ich vermute, da liegt der Haase im Pfeffer.

Da ich ja auf beiden Seiten DynDNS habe und die FB nur einen (1) DynDNS-Eintrag unterstützt, ist der DNS-Eintrag für die FB nur vom Typ A.

Der lancom kann ja mehrere DynDNS-Einträge. Deshalb gibt es für den lancom einen bzw. zwei gleichlautende DNS-Einträge vom Typ A und vom Typ AAAA.

Beide Seiten halten die Verbindung offen. Die FB hat den Parameter "Verbindung halten" und der lanconm hat diese "9999" in der Haltezeit.

Ich würde mal vermuten es liegt an dem einen (1) DNS-Eintrag Typ A für die FB.

Meine Vermutung war: Wenn die FB die Verbindung aufbaut, dann macht sie das über IPv6. Wenn der lancom die Verbindung aufbaut dann muss er das über IPv4 machen, weil es für die FB nur einen IPv4 DNS-Eintrag gibt.

Ich kann mal manuell einen IPv6 DNS-Eintrag für die FB erstellen (ohne Update-Funktion). Mal sehen, ob das dann anders ist.

[Dr.Einstein]

Nimm doch die Fritzbox Funktion, "MyFRITZ!-Konto". Ist ein ganz normaler, voll integrierter kostenloser DynDNS Dienst, der A+AAAA macht. Dann ist die Domain sogar optional mit echtem letsencrypt.org - Zertifikat versehen.

[Frühstücksdirektor]

Auf dem LANCOM kann man steuern, ob bei DNS über IPv4 oder IPv6 aufgelöst werden soll:

Remote-GW auf dem LANCOM so konfigurieren, d.h. am Ende ?4 oder ?6 dranhängen:

test.vpn.com?4 => löst auf IPv4 auf
test.vpn.com?6 => löst auf IPv6 auf

Damit ist sichergestellt, dass immer über das "richtige" Protokoll aufgelöst wird. Nach dem Verbindungsaufbau der Internetverbindung ist IPv4 manchmal schneller wegen der zusätzlichen Verhandlungsrunden im IPv6 (RA, DHCPv6 etc.)

Klappt auch an deren Stellen im LCOS...
z.B. ping www.heise.de?4

[Dr.Einstein]

Damit ist sichergestellt, dass immer über das "richtige" Protokoll aufgelöst wird. Nach dem Verbindungsaufbau der Internetverbindung ist IPv4 manchmal schneller wegen der zusätzlichen Verhandlungsrunden im IPv6 (RA, DHCPv6 etc.)

Unabhängig von dem Thread hier: Sollte das LCOS das nicht selbst managen ohne strikte Angabe? D.h. wenn ich z.B. PPP aufbaue und v6 mit angehakt ist, sollte das LCOS dann nicht min. einen RA/DHCPv6 Durchlauf warten, bevor irgendwas auf Fallback v4 geschieht? Hab das ehrlich gesagt noch nicht beobachtet.

[averlon]

Ich habe jetzt mal zum Test manuell (ohne Update-Funktion) einen DNS-Eintrag für die FB vom Typ AAAA angelegt.

Zusätzlich habe ich mal dieses "?6" in der IKEv1-Konfiguration eingefügt.

Jetzt wurde die VPN-Verbindung über IPv6 aufgebaut - ohne Probleme.

Die Fehlermeldung mit "INVALID_ID_INFORMATION" ist nicht mehr gekommen.

Ich habe danach das "?6" wieder raus genommen und auch den DNS-Eintrag wieder deaktiviert.

Der Test war also erfolgreich und die Konfiguration funktioniert scheinbar, auch bei IPv6!

Danke an @Dr.Einstein! Ich denke, der Thread ist für mich jetzt (hoffentlich) beendet. Ich wünsche allen ein frohes Fest!

Zusatz:

Man kann ja die Konfiguration der FB exportieren. Darin befindet sich auch die Konfiguration der VPN-Verbindungen ("vpncfg").
Dort gibt es jetzt (FRITZ!OS 8.0) einen Eintrag "use_ikev2 = no;". Obwohl ich bei AVM in der Knowledgebase nichts dazu finden konnte scheint es wohl so zu sein, dass, zumindest in naher Zukunft, auch IKEv2-Verbindungen möglich sind.

Ich werde das bei Gelegenheit mal auf "yes" setzen und im lancom eine IKEv2-Verbindung konfigurieren und schauen, ob das klappt. Ich probiere halt gerne was aus!

[Hagen2000]

Da ich ja auf beiden Seiten DynDNS habe und die FB nur einen (1) DynDNS-Eintrag unterstützt, ist der DNS-Eintrag für die FB nur vom Typ A.

Du kannst doch den A- und AAAA-Record gleichzeitig setzen lassen, siehe https://avm.de/service/wissensdatenbank ... inrichten/ - oder habe ich da was verpasst?

[averlon]

Du kannst doch den A- und AAAA-Record gleichzeitig setzen lassen, siehe https://avm.de/service/wissensdatenbank ... inrichten/ - oder habe ich da was verpasst?

Danke für den Hinweis. Du hast nichts verpasst! Aber mein DynDNS-Provider arbeitet nicht nach dieser Logik. Ich muss mir das anschauen und vielleicht mit meinem Provider mal reden ob es da eine Möglichkeit gibt.

Mein Provider hat für jeden DNS-Eintrag eine individuelle URL nach dem Schema:
"https://ipv4.cloudns.net/api/dynamicURL ... UzNTcwMDE6 ... yNWJhN2FiNjU0NjQ4NzQ2Zjk2ZmUwZDMxYmNmN2U0YzZmYWY1MGVmMmQzOA"
Da sind keine Benutzer/Kennwort Parameter enthalten. Aber trotzdem danke für den Hinweis, ich frage beim Provider mal nach, ob es eine Möglichkeit gibt IPv4 und IPv6 zu kombinieren.

Update: ClouDNS.net hat mir mitgeteilt, dass es aktuell keine Möglichkeit gibt IPv4- und IPv6-Updater zu kombinieren! Mal sehen, was die Zukunft bringt. Ich habe mir auch mehrere andere Provider angeschaut. Für meine Zwecke hat ClouDNS.net das beste Preis-/Leistungsverhältnis. Also werde ich wohl aktuell dort bleiben.
Was meine FB betrifft, funktioniert IPv4 ja auch gut. Ich wollte ja nur ausprobieren, ob bzw. wie es mit IPv6 geht, damit ich wieder was gelernt habe.

[Dr.Einstein]

Heißt das nun, bei dir ist FQDN ungleich dem Ziel-Domainnamen und es funktioniert? Oder beide Werte identisch?

[averlon]

Heißt das nun, bei dir ist FQDN ungleich dem Ziel-Domainnamen und es funktioniert? Oder beide Werte identisch?

Auf dem lancom ist die Authentifizierung so eingestellt:

Code: Alles auswählen

cd /Setup/VPN/Certificates-and-Keys/IKE-Keys 
#    Name              Local-ID-Type       Local-Identity                                                                                                                                                                                                                                                  Remote-ID-Type      Remote-Identity                                                                                                                                                                                                                                                 Shared-Sec                                                        Shared-Sec-File     
#    ==================--------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "KEY_TEST"         {Local-ID-Type}  Domain-Name        {Local-Identity}  "lancom. ... .com"                                                                                                                                                                                                           {Remote-ID-Type}  Domain-Name        {Remote-Identity}  "fb. ... .com"                                                                                                                                                                                                                                               {Shared-Sec}  "?????"                                                       {Shared-Sec-File}  ""

Auf der Seite der FB sehen die Parameter so aus:

Code: Alles auswählen

                localid {
                        fqdn = "fb. ... .com";
                }
                remoteid {
                        fqdn = "lancom. ... .com";
                }

Ich habe die VPN-Konfiguration auf der FB ja über eine vorbereitete Konfigurationsdatei importiert. Auf der Oberfläche der FB sieht man ja nur:

Code: Alles auswählen

Internet-Adresse der Gegenstelle: "lancom. ... .com"
Internet-Adresse dieser FRITZ!Box: "fb. ... .com"

Der Typ wird auf der Oberfläche ja nicht sichtbar.

Zusatz: der lancom hat im DNS einen A- und einen AAAA-Record. Die FB hat nur einen A-Record. Die FB hatte nur zum Test mal beide, A und AAAA. Nachdem ich keine Möglichkeit haben beide DNS-Einträge von der FB aus aktualisieren zu lassen, habe ich es vorerst beim A-Record belassen. Funzt ja auch!