10
IPv6-Probleme für IPSec-Tunnel zwischen Kabel DS-Light und 1und1 VDSL100
Hi Leute,
mein einst super funktionierender Ipsec-Tunnel zwischen meiner Hauptwohnung und der Wohnung meiner Tochter, ist leider deren Wunsch nach mehr Geschwindigkeit zum Opfer gefallen.
Die dort eigebaute 7590 (1&1 Dualstack 16er DSL), musste wegen dem jetzigem 100 er Kabelanschluss gegen eine 6690 mit DS-Light IPv6 Anschluß von O² getauscht werden.
Mir war vorher klar, was passiert, aber meine Meinung wurde ignoriert.
Nun bin ich am „basteln“, um eine Verbindung über IPv6 hin zu bekommen.
Im Augenblick ist noch nicht einmal eine Verbindung über MyFritz möglich, da ich auf meiner Seite, trotz DualStack, kein wirklich funktionierendes IPv6 hin bekomme.
Die technischen Gegebenheiten in der Hauptwohnung...
- pfSense (IPv4 pppoE, IPv6 DHCP) hinter Allnet-Modem
- 1&1 DSL100 DualStack mit wechselnder IP von 1&1, (Telekom-Anschluß)
- DynDNS von SPDNS.de
Status des Dynamic DNS von IPv4 wie auch IPv6 Adressen, bekomme ich in der pfSense auch angezeigt.
Leider scheint IPv6 vom Provider nur am Endpunkt zu existieren, wird aber wohl nicht durchgeschaltet. Zumindest sagt mir der IPv6-Test, das dieses bei mir, WAN-seitig nicht vorhanden ist.
Somit kann ich natürlich auch keinen Zugriff zum Nachbarstandort per IPv6 erhalten.
Vielleicht gibt es ja noch eine elegantere Lösung, die mir eine, wohl zu erwartende langwierige Provider-Abfrage erspart.
Die pppoE-Einwahl der pfSense über das Modem, sollte ja wohl nicht die Ursache sein.
Gruß orcape
mein einst super funktionierender Ipsec-Tunnel zwischen meiner Hauptwohnung und der Wohnung meiner Tochter, ist leider deren Wunsch nach mehr Geschwindigkeit zum Opfer gefallen.
Die dort eigebaute 7590 (1&1 Dualstack 16er DSL), musste wegen dem jetzigem 100 er Kabelanschluss gegen eine 6690 mit DS-Light IPv6 Anschluß von O² getauscht werden.
Mir war vorher klar, was passiert, aber meine Meinung wurde ignoriert.
Nun bin ich am „basteln“, um eine Verbindung über IPv6 hin zu bekommen.
Im Augenblick ist noch nicht einmal eine Verbindung über MyFritz möglich, da ich auf meiner Seite, trotz DualStack, kein wirklich funktionierendes IPv6 hin bekomme.
Die technischen Gegebenheiten in der Hauptwohnung...
- pfSense (IPv4 pppoE, IPv6 DHCP) hinter Allnet-Modem
- 1&1 DSL100 DualStack mit wechselnder IP von 1&1, (Telekom-Anschluß)
- DynDNS von SPDNS.de
Status des Dynamic DNS von IPv4 wie auch IPv6 Adressen, bekomme ich in der pfSense auch angezeigt.
Leider scheint IPv6 vom Provider nur am Endpunkt zu existieren, wird aber wohl nicht durchgeschaltet. Zumindest sagt mir der IPv6-Test, das dieses bei mir, WAN-seitig nicht vorhanden ist.
Somit kann ich natürlich auch keinen Zugriff zum Nachbarstandort per IPv6 erhalten.
Vielleicht gibt es ja noch eine elegantere Lösung, die mir eine, wohl zu erwartende langwierige Provider-Abfrage erspart.
Die pppoE-Einwahl der pfSense über das Modem, sollte ja wohl nicht die Ursache sein.
Gruß orcape
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670068
Url: https://administrator.de/forum/ipv6-probleme-fuer-ipsec-tunnel-zwischen-kabel-ds-light-und-1und1-vdsl100-670068.html
Ausgedruckt am: 11.01.2025 um 10:01 Uhr
10 Kommentare
Neuester Kommentar
Mit Allgemein-Internet-CSS hast du dich aber ganz schon in der Rubrik vertan. Gut, kann passieren am Montagmorgen wenn man den "Bearbeiten" Knopf nicht so schnell findet. 🤣
Zurück zum Thema...
Lesenswert dazu:
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Mikrotik für Deutsche Glasfaser einrichten
Mit anderen Worten: Am WAN Port muss ein (Configuration Type) "DHCPv6 Client" aktiv sein und das Regelwerk muss IPv6 UDP 546 (DHCPv6) dort inbound von "any" auf das WAN Interface als Ziel passieren lassen. (Sofern das Allnet "Modem" ein reines NUR Modem ist und kein NAT Router, also Internet direkt an der Firewall?!)
Wenn du keine internen IPv6 LAN Adressen bekommst kann das 2 Ursachen im Firewall Setup haben:
Leider fehlen deine entsprechenden Settings/Screenshots zur Firewall IPv6 Konfiguration so das du leider in diesem Punkt zum Kristallkugeln zwingst.
Ein paar IPv6 Beispiele in einem ähnlichen Router Kaskaden Setup mit einer FB davor findet man hier:
https://www.altmetaller.de/ipv6-pfsense-hinter-fritzbox-6360-kabel-deuts ...
https://www.kuerbis.org/2023/03/ipv6-im-heimnetz-mit-pfsense-und-dynamis ...
⚠️ Aufpassen: Die in den Beispielen verkleinerte Prefix Vorgabe am WAN Port darfst du bei dir am WAN nicht machen, da du in deinem o.a. Setup keinen vorgelagerten Router hast. (Nur wenn das "Modem" ein nur Modem ist?!)
Auch, wie immer, lesenswert für ein kostenloses IPv6 Training und Update:
https://danrl.com/ipv6/
Zurück zum Thema...
Lesenswert dazu:
IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Mikrotik für Deutsche Glasfaser einrichten
Mit anderen Worten: Am WAN Port muss ein (Configuration Type) "DHCPv6 Client" aktiv sein und das Regelwerk muss IPv6 UDP 546 (DHCPv6) dort inbound von "any" auf das WAN Interface als Ziel passieren lassen. (Sofern das Allnet "Modem" ein reines NUR Modem ist und kein NAT Router, also Internet direkt an der Firewall?!)
Wenn du keine internen IPv6 LAN Adressen bekommst kann das 2 Ursachen im Firewall Setup haben:
- IPv6 Funktion generell im Setup deaktiviert
- Die v6 Prefix Delegation PD (Interface Indexierung) wurde vergessen zu aktivieren. Am LAN Interface ist dort "Configuration Type = Track Interface und bei "Track IPv6 Interface" das WAN Interface einzutragen damit die per PD übermittelte v6 Adressrange auf die internen Interfaces übertragen wird.
Leider fehlen deine entsprechenden Settings/Screenshots zur Firewall IPv6 Konfiguration so das du leider in diesem Punkt zum Kristallkugeln zwingst.
Ein paar IPv6 Beispiele in einem ähnlichen Router Kaskaden Setup mit einer FB davor findet man hier:
https://www.altmetaller.de/ipv6-pfsense-hinter-fritzbox-6360-kabel-deuts ...
https://www.kuerbis.org/2023/03/ipv6-im-heimnetz-mit-pfsense-und-dynamis ...
⚠️ Aufpassen: Die in den Beispielen verkleinerte Prefix Vorgabe am WAN Port darfst du bei dir am WAN nicht machen, da du in deinem o.a. Setup keinen vorgelagerten Router hast. (Nur wenn das "Modem" ein nur Modem ist?!)
Auch, wie immer, lesenswert für ein kostenloses IPv6 Training und Update:
https://danrl.com/ipv6/
Hi aqui,
die ersten beiden Sätze überlese ich mal kulanterweise, mein Kaffee war wohl heute morgen etwas dünn. Aber danke für die Änderung.
Zu Thema…
DHCP-Client ist aktiv, die IPv6-Regel am WAN hatte ich eine Scheunentor-Regel, die ich jetzt noch modifiziert habe.
Das Modem ist ein…
ALLNET ALL-BM200VDSL2V ADSL VDSL2 Vectoring Bridge Modem
..welches auch im Bridge-Modus arbeitet und nicht als Router.
Wobei das auch meine Befürchtung war, das mir hier das Modem nicht mitspielt.
Das ist ja mein Problem, IPv6 im Setup ist aktiviert, v6 Prefix Delegation ist aktiviert, Configuration Type = Track Interface, ist eingetragen, Track IPv6 Interface WAN" ist eingetragen.
Und... ich bekomme ja IPv6-Adressen, sowohl an den LAN-Interfaces, wie am WAN-Interface.
Die IPv6-Adresse am WAN stimmt mit der vom DynDNS-Provider gehaltenen IPv6 auch überein, nur sagt mir der IPv6-Test anderes…
Ihre IPv6-Adresse lautet: „nicht vorhanden“ .
Gruß orcape
die ersten beiden Sätze überlese ich mal kulanterweise, mein Kaffee war wohl heute morgen etwas dünn. Aber danke für die Änderung.
Zu Thema…
Mit anderen Worten: Am WAN Port muss ein (Configuration Type) "DHCPv6 Client" aktiv sein und das
Regelwerk muss IPv6 UDP 546 (DHCPv6) dort inbound von "any" auf das WAN Interface als Ziel passieren
lassen. (Sofern das Allnet "Modem" ein reines NUR Modem ist und kein NAT Router, also Internet direkt an der > Firewall?!)
Regelwerk muss IPv6 UDP 546 (DHCPv6) dort inbound von "any" auf das WAN Interface als Ziel passieren
lassen. (Sofern das Allnet "Modem" ein reines NUR Modem ist und kein NAT Router, also Internet direkt an der > Firewall?!)
DHCP-Client ist aktiv, die IPv6-Regel am WAN hatte ich eine Scheunentor-Regel, die ich jetzt noch modifiziert habe.
Das Modem ist ein…
ALLNET ALL-BM200VDSL2V ADSL VDSL2 Vectoring Bridge Modem
..welches auch im Bridge-Modus arbeitet und nicht als Router.
Wobei das auch meine Befürchtung war, das mir hier das Modem nicht mitspielt.
Wenn du keine internen IPv6 LAN Adressen bekommst kann das 2 Ursachen im Firewall Setup haben:
• IPv6 Funktion generell im Setup deaktiviert
• Die v6 Prefix Delegation PD (Interface Indexierung) wurde vergessen zu aktivieren. Am LAN Interface ist
dort "Configuration Type = Track Interface und bei "Track IPv6 Interface" das WAN Interface einzutragen damit > die per PD übermittelte v6 Adressrange auf die internen Interfaces übertragen wird.
• IPv6 Funktion generell im Setup deaktiviert
• Die v6 Prefix Delegation PD (Interface Indexierung) wurde vergessen zu aktivieren. Am LAN Interface ist
dort "Configuration Type = Track Interface und bei "Track IPv6 Interface" das WAN Interface einzutragen damit > die per PD übermittelte v6 Adressrange auf die internen Interfaces übertragen wird.
Das ist ja mein Problem, IPv6 im Setup ist aktiviert, v6 Prefix Delegation ist aktiviert, Configuration Type = Track Interface, ist eingetragen, Track IPv6 Interface WAN" ist eingetragen.
Und... ich bekomme ja IPv6-Adressen, sowohl an den LAN-Interfaces, wie am WAN-Interface.
Ihre IPv6-Adresse lautet: „nicht vorhanden“ .
Gruß orcape
DHCP-Client ist aktiv
Aber die Delegation Size sicher falsch gesetzt, denn dein Provider wird dir sicher einen größeren Präfix als die (vermutlich) dort falsch eingestellten /64 vergeben?! (Telekom z.B. /56)Wobei das auch meine Befürchtung war, das mir hier das Modem nicht mitspielt.
Nein das ist Unsinn, denn das Modem ist nichts als ein "Pegelwandler". Es kennt rein gar nichts von IP und arbeitet nur mit Hardware Adressen. Wie der Name schon sagt... Bridge. Und einer Bridge ist es bekanntlich ziemlich egal was an höheren Protokollen über sie übertragen wird. Sie hat ja IP technisch keinerlei Verbindung mit dem IP Forwarding. Vergiss diese Befürchtung also...ich bekomme ja IPv6-Adressen, sowohl an den LAN-Interfaces, wie am WAN-Interface.
Aber dann ist doch bis auf den falschen Prefix unter DHCPv6 Prefix Delegation Size am WAN Interface alles im Lot?nur sagt mir der IPv6-Test anderes…
Welcher Test??Hast du denn aus einem IPv6 Netz (Mobilfunk etc.) einmal ein nslookup auf diese DynDNS Adresse gemacht? Wenn du testweise einmal für IPv6 Ping freigibst kannst du diese nackte v6 WAN IP der Firewall von einem Client in einem v6 Netz (z.B. Mobilfunk/Smartphone mit HE.NET Tools) pingen. Zumindestens das sollte fehlerfrei klappen.
Es gilt ja herauszufinden ob hier ggf. der DDNS Client Unsinn verzapft.
Zitat von @orcape:
Das ist ja mein Problem, IPv6 im Setup ist aktiviert, v6 Prefix Delegation ist aktiviert, Configuration Type = Track Interface, ist eingetragen, Track IPv6 Interface WAN" ist eingetragen.
Und... ich bekomme ja IPv6-Adressen, sowohl an den LAN-Interfaces, wie am WAN-Interface.
Das ist ja mein Problem, IPv6 im Setup ist aktiviert, v6 Prefix Delegation ist aktiviert, Configuration Type = Track Interface, ist eingetragen, Track IPv6 Interface WAN" ist eingetragen.
Und... ich bekomme ja IPv6-Adressen, sowohl an den LAN-Interfaces, wie am WAN-Interface.
Das sieht aber nicht richtig aus. Sind das zumindest unterschiedliche /64-Netze? Wenn du insgesamt nur /64 anfragst, wahrscheinlich nicht.
Der Prefix-Hint sollte jedenfalls auf /56 gesetzt oder weggelassen werden.
Evtl. ist es auch erforderlich, "nur Prefix/keine Adresse anfordern" zu deaktivieren. Das könntest du dann aktivieren, wenn du unbedingt die WAN-IP der pfSense aus dem delegierten Prefix beziehen willst, und (!) gleichzeitig die Einstellungen auf den trackenden LAN-Interfaces dem Verbrauch des WAN-Präfixes berücksichtigen (...können - weiß nicht, was da hinsichtlich der SLA-ID konfigurierbar ist), oder der ISP das so erfordert.
Von wahrscheinlich den meisten ISPs wird die pfSense ohne diese Option eine WAN-IP bzw. ein /64-WAN-Präfix außerhalb des delegierten /56-Präfixes erhalten. Das delegierte Präfix ist in diesen Fällen demnach für VPN-Verbindungen des Routers gar nicht von Belang.
Grüße
Richard
Aber dann ist doch bis auf den falschen Prefix unter DHCPv6 Prefix Delegation Size am WAN Interface alles im Lot?
Das Präfix habe ich geändert auf 56.Welcher Test??
Irgendwie kam auch mal eine IPv6 Anzeige auf "wieistmeineIP.de". Warum auch immer.Sonst steht da immer keine IPv6 Adresse vorhanden und das egal welchen IPv6 Test ich mache.
Vom Handy komme ich per LTE und dem DNS-Checker auf meinen Host und der zeigt mir sowohl IPv4 wie IPv6 an.
Stellt sich die Frage ob ich da noch einen Fehler drin habe, der mir die IPv6-Anzeige im Browser "verhagelt"....
...oder ob ich doch keine IPv6 erhalte.
Hast du mal http://myexternalip.com versucht?
Das musst du natürlich mit einem Client machen der in einem lokalen v6 Segment hängt.
Hier natürlich auch mal ein ipconfig -all (Linux ip a) ausführen und checken das der auch ne v6 IP hat und einen v6 DNS.
Das musst du natürlich mit einem Client machen der in einem lokalen v6 Segment hängt.
Hier natürlich auch mal ein ipconfig -all (Linux ip a) ausführen und checken das der auch ne v6 IP hat und einen v6 DNS.
@aqui
Werde ich mal machen, aber ich glaube nun fast, das es mit meiner Netzumstellung im Frühjahr zusammen hängt, als der Anschuß von 50 MBit auf 100 MBit geändert wurde. Beim 50 MBit-Anschluß hatte ich anfangs noch eine Fritzbox7490 vor der pfSense und da lag IPv4 wie auch IPv6 an. Bei der Umstellung war schon das Allnet-Modem eingebaut und da ist nicht direkt ersichtlich, was da am Anschluß anliegt.
Man hatte mir zwar zugesichert, das es technisch keine Änderungen gibt, aber da meine Tunnel alle problemlos weiter funktioniert haben, die Gartensaison gerufen hat und ich damals kein IPv6 benötigte, habe ich da auch nichts weiter überprüft.
Ich könnte ja auch mal eine alte 7412 an den Anschluß hängen, aber ich werde wohl gleich mal schauen was 1&1 dazu sagt.
Ich hatte gestern Abend noch gelesen das 1&1 in Fällen wie meinem, nur IPv4 freischaltet, IPv6 erst auf Anfrage. Aber das werde ich hoffentlich erfahren.
Feedback folgt....
Werde ich mal machen, aber ich glaube nun fast, das es mit meiner Netzumstellung im Frühjahr zusammen hängt, als der Anschuß von 50 MBit auf 100 MBit geändert wurde. Beim 50 MBit-Anschluß hatte ich anfangs noch eine Fritzbox7490 vor der pfSense und da lag IPv4 wie auch IPv6 an. Bei der Umstellung war schon das Allnet-Modem eingebaut und da ist nicht direkt ersichtlich, was da am Anschluß anliegt.
Man hatte mir zwar zugesichert, das es technisch keine Änderungen gibt, aber da meine Tunnel alle problemlos weiter funktioniert haben, die Gartensaison gerufen hat und ich damals kein IPv6 benötigte, habe ich da auch nichts weiter überprüft.
Ich könnte ja auch mal eine alte 7412 an den Anschluß hängen, aber ich werde wohl gleich mal schauen was 1&1 dazu sagt.
Ich hatte gestern Abend noch gelesen das 1&1 in Fällen wie meinem, nur IPv4 freischaltet, IPv6 erst auf Anfrage. Aber das werde ich hoffentlich erfahren.
Feedback folgt....
das 1&1 in Fällen wie meinem, nur IPv4 freischaltet, IPv6 erst auf Anfrage.
Tja was soll man von so einem Billoheimer und seinem Support auch erwarten... 🙄Die Aussage kann aber nicht stimmen da du ja schreibst du bekommst eine WAN v6 IP und ein per PD zugewiesenes IPv6 Netz an deinem LAN Anschluss. Wäre die o.a Aussage von 1&1 korrekt wäre das ja nicht der Fall. Oder sie aktivieren die Adressvergabe unterbinden dann aber das v6 Routing was aber sehr ungewöhnlich wäre. Gut, bei 1&1 weiss man nie... Vielleicht klärt man das dann nochmal wasserdicht mit deren kompetenter Hotline.
Bei der Umstellung war schon das Allnet-Modem eingebaut und da ist nicht direkt ersichtlich, was da am Anschluß anliegt.
Wie meinst du das mit "was da am Anschluß anliegt"?? Du sagst doch das der Anschluss vor und nach der Umstellung ein Dual Stack Anschluss war und ist?! Damit ist dieses Statement dann irgendwie unverständlich, denn ob als Modem eine Fritzbox mit integriertem Modem oder ein nur Modem wie dein Allnet angeschlossen ist verändert ja niemals die IP Charakteristiken eines Provider Anschlusses. Das weisst du ja auch selber.Wenn du, wie du schreibst, eine IPv6 Adresse am WAN und auch per PD am LAN bekommst ist das doch der beste Beweis dafür das Dual Stack einwandfrei rennt.
Entsprechend problemlos funktioniert auch ein IPv6 Ping (und Tracreoute) auf eine Dual Stack, nur Modem (VMG3006) angebundene pfSense Firewall.
Global IPv6 in der FW aktivieren:
Works as designed! 👍 😉
Tja was soll man von so einem Billoheimer und seinem Support auch erwarten... 🙄
Nun ja, nicht jeder kann einen Mercedes fahren und im übrigen hat der auch nur 4 Räder und einen Motor und...Ist lange nicht mehr das, was er einst war.
Wichtig ist doch, das man ankommt, wo man hin will und das nicht gerade unter Extrembedingungen.
Auch wenn 1&1 die Kohle kassiert, so ist die Technik und der Anschluß letztlich auch nur Telekom.
das 1&1 in Fällen wie meinem, nur IPv4 freischaltet, IPv6 erst auf Anfrage.
Die Aussage kann aber nicht stimmen da du ja schreibst du bekommst eine WAN v6 IP und ein per PD
zugewiesenes IPv6 Netz an deinem LAN Anschluss.
zugewiesenes IPv6 Netz an deinem LAN Anschluss.
Die Aussage hat auch nicht gestimmt und meine Nachfrage hat ergeben, das ich bei der Umschaltung von 50 auf 100 MBit weiterhin einen DualStack-Anschluß habe.
Rein zufällig, aber wirklich nur rein zufällig, funktioniert es mit IPv6 nun problemlos mit den auf dem Bild zu sehenden Einstellungen.
Vielleicht war ja doch der "DHCPv6 Prefix Delegation size" die Ursache. Auch hatte ich "Request only an IPv6 prefix" angeklickt. Manchmal sieht man den Wald vor lauter Bäumen nicht mehr.
Nun muss ich mich nur noch um die 6690 kümmern, die hoffentlich nicht die gleichen "Kinder-Krankheiten" in Sachen IPSec aufweist, wie die 7590. Wir werden sehen ob AVM dazu gelernt hat.
Danke noch mal für die Hilfe.
Gruß orcape
so ist die Technik und der Anschluß letztlich auch nur Telekom.
Nicht nur. Als Wiederverkäufer ohne eigenes Transportnetz vertickern die auch Anschlüsse von Vodkafön und O2. Aber egal...ist nicht das Thema.weiterhin einen DualStack-Anschluß habe.
War zu erwarten. Sowas wird auch nicht geändert.aber wirklich nur rein zufällig, funktioniert es mit IPv6 nun problemlos
Was für ein unglaublicher Zufall! 🤣👍Auch hatte ich "Request only an IPv6 prefix" angeklickt.
Das ist natürlich für das WAN Interface schlecht, denn so bekommt es selber keine gültige v6 IP und dann scheitert oftmals das v6 Routing.Nun muss ich mich nur noch um die 6690 kümmern
Dann mal los! Die 6690 funktioniert mit aktueller Firmware zu mindestens mit IPv4 problemlos und fehlerfrei mit IPsec. VPN mit IPv6 hängt bei AVM vom Release ab.Alle Details dazu stehen ja haarklein in deinem IPsec Technikthread zu dem Thema. 😉
Danke noch mal für die Hilfe.
Immer gerne!
1
