topperharley1402
Goto Top

Kann pfSense Gui per VPN von einem IPv6 Client nicht erreichen

Ich habe ein pfsense Cluster bei Hetzner stehen.
Zwei Rootserver mit pfsense installiert.

Diese sind über mehrere vswitche untereinander verbunden.

Die WAN CARP VIP lauft über einen vswitch, auf dem ein ipv4 und ein ipv6 netz gebucht sind.

VPN wird aufgebaut. Erhalte eine ipv4 und eine ipv6 Adresse.

Ich kann vom Client aus, die ipv4 und ipv6 LAN Adresse von beiden Firewalls und vpm CARP VIP pingen. Dnsauflösung vom Client zu den Firewalls geht auch. Ping von den Firewalls via ipv4 und ipv6 zum client gehen auch.

Wenn ich per ipv4 wan auf dem Client teste, komme ich auf die Firewall.


Wo bin ich nun falsch abgebogen?

VG
screenshot 2024-03-20 145726

Content-ID: 23954677194

Url: https://administrator.de/forum/kann-pfsense-gui-per-vpn-von-einem-ipv6-client-nicht-erreichen-23954677194.html

Ausgedruckt am: 22.12.2024 um 04:12 Uhr

aqui
aqui 21.03.2024 aktualisiert um 09:42:26 Uhr
Goto Top
VPN wird aufgebaut.
Wenig hilfreiche Information... face-sad

Welches der zahllosen VPN Protokolle nutzt du denn?? 🤔
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten

Von dieser wichtigen und von dir leider unterschlagenden Information hängt doch maßgeblich eine zielführende Antwort ab! face-sad
topperharley1402
topperharley1402 21.03.2024 um 09:52:54 Uhr
Goto Top
Ach ups!
Openvpn nutze ich.
aqui
aqui 21.03.2024 aktualisiert um 10:44:20 Uhr
Goto Top
Warum so ein uraltes und wenig performantes VPN Protokoll?? 🤔
Mit den o.a. L2TP und IKEv2 Varianten wärst du doch deutlich besser bedient zumal du dir dann auch die unnötige Frickelei mit überflüssiger VPN Software auf den Clients und deren Konfig ersparen kannst. Aber nun gut, warum einfach und performant für v4 und v6 lösen wenn man es schlecht und umständlich auch machen kann... face-wink
Ohne dein genaues OVPN v6 Setup zu kennen wird eine zielführende Hilfe schwierig. Ggf. hilft diese Lektüre:
https://www.heise.de/select/ct/2018/13/1529374309620058
Merkzettel: VPN Installation mit OpenVPN
Besser wäre ein anderes VPN Protokoll zu nutzen. Direkt ins OS embeddete VPN Clients macht das v6 Handling auch deutlich leichter.
topperharley1402
topperharley1402 21.03.2024 um 15:10:55 Uhr
Goto Top
Weil face-wink

Was brauchst du denn an Infos von meinem ovpn v6 Setup?

Es geht auch nur darum, ipv6 clients ins interne Netz zu kriegen. Intern wird nur ipv4 eingesetzt. Die pfsense hat aber wanseitig ipv4 und ipv6. Das sollte sich ja machen lassen.
aqui
aqui 24.03.2024 aktualisiert um 12:34:28 Uhr
Goto Top
Die pfsense hat aber wanseitig ipv4 und ipv6.
Was schonmal sehr gut ist!.
Kannst du direkt von der pfSense aus dem Diagnostics Menü mit einem v6 Ping einen öffentlichen Host pingen wie z.B. www.heise.de? Alternativ dessen v6 IP: 2A02:2E0:3FE:1001:7777:772E:2:85 ??
Wenn das klappt zeigt es zumindestens erstmal das das IPv6 Internet Routing sauber klappt.

Der Rest ist dann kinderleicht. Wenn du ein statisches Subnetz bekommen hast trägst du das einfach am LAN Port ein und gut ist. Sofern du ein Subnetz per PD übers WAN bekommst aktivierst du das Tracking Interface. Fertisch..
Ob das dann klappt testest du ebenfalls wieder aus dem Diagnostics Menü mit einem v6 Ping eines öffentlichen Hosts. Diesmal aber indem du die Source IP auf das LAN Interface setzt! So wird der Ping dann mit einer Absender IP aus deinem eigenen lokalen LAN gesendet.
Klappt das, klappt das v6 Routing von deinem LAN und es wird dann auch mit allen IPv6 Endgeräten im lokalen LAN funktionieren!
topperharley1402
topperharley1402 03.04.2024 um 18:03:55 Uhr
Goto Top
Ping geht ohne probleme.
Ich hab ein /64 zugewiesen bekommen. Dies hab ich auf dem WAN Interface eingetragen.

Ich hab aber kein ipv6 im lokalen lan. Rein ipv4. Ich hab echt nur ipv6 wan clients.
aqui
aqui 03.04.2024 aktualisiert um 22:16:35 Uhr
Goto Top
Ich hab aber kein ipv6 im lokalen lan.
Das ist per se schlecht. Dann scheitert natürlich ein IPv6 Zugang aus dem lokalen LAN von vorn herein, denn dafür ist analog wie beim IPv4 ja eine entsprechende IPv6 Adressierung erforderlich. Das weiss aber auch ein IP Laie...

Vielleicht machst du aber auch einen Denkfehler, denn wenn du wie du schreibst ein IPv6 /64er per Prefix Delegation am WAN Port "zugewiesen" bekommst ist ja genau dieses Netz für dein lokales LAN.
Das was dem Router/FW per prefix Delegation zugewiesen wird ist immer das Netz für das lokale LAN. Das es automatisch per PD kommt muss man es auch nicht selber konfigurieren.
Die pfSense deligiert es immer automatisch an sein lokales LAN wenn das WAN Interface auf den Adress Config Type
wanv6
gesetzt ist!
topperharley1402
topperharley1402 04.04.2024 um 11:00:58 Uhr
Goto Top
Nee per Prefix Delegation bekomm ich nix.

Ich habe einen Root Server bei Hetzner, der auf einem vswitch ein /29 und ein /64 bekommt.
topperharley1402
topperharley1402 04.04.2024 um 11:08:14 Uhr
Goto Top
Ich kann ja darüber das wan interface in ipv4 und ipv6 wunderbar erreichen.

Und ich will auch von meinem internen Netzen nicht per ipv6 raus kommunizieren. Ich habe nur Mitarbeiter, die keinen reinen ipv4 Anschluss haben, sondern auch mal ds-lite oder auch Kunden, die da in Zukunft vielleicht auch ipv6 Wan Anschlüsse haben.

Wir im Team haben aber soweit besprochen, dass wir für unsere interne Infrastruktur vorerst auf ipv6 verzichten wollen, weil wir da erstmal keinen Mehrwert sehen.
aqui
aqui 04.04.2024 aktualisiert um 11:22:20 Uhr
Goto Top
Nee per Prefix Delegation bekomm ich nix.
OK, dann musst du ja statisch adressieren und benötigst ein öffentlches v6 Netzwerk für dein LAN Segment. Wie sollte es dann anderes gehen?! 🤔
Und ich will auch von meinem internen Netzen nicht per ipv6 raus kommunizieren.
Aahhhsooo...! OK, dann kannst du das natürlich vergessen mit dem v6 auf dem LAN.
Ich habe nur Mitarbeiter, die keinen reinen ipv4 Anschluss haben
OK, verstanden!
Gut, dann ist das natürlich eine ganz einfache Kiste. Wenn du ein /64er v6 Netz statisch zugeteilt bekommen hast dann vergibst du, wie klassische bei v4 auch, eine v6 IP deinem WAN Port (Type=Static) und richtest ein Gateway ein mit der v6 IP die dir dein Provider in dem Netz als Gateway Adresse genannt hat. Fertisch.
v6 Ping Check aus dem Diagnostics Menü mit der gesetzten Source IP vom WAN Port sollte dann v6 technisch sofort klappen!

Alternativ könntest du die v6 IP auch per SLAAC oder DHCPv6 zuteilen lassen am WAN, das geht aber nur wenn der Provider das auch so supportet. Hat aber auch immer den großen Nachteil das das dynmaisch ist und du willst für die Mitarbeiter ja immer eine feste v6 IP, deshalb ist die statische Adressierung immer die bessere Option und eine feste Bank!
Ich kann ja darüber das wan interface in ipv4 und ipv6 wunderbar erreichen.
So sollte es dann ja auch sein und dann hast du alles richtig gemacht. Aber WO ist denn dann nun dein wirkliches Problem? 🤔
topperharley1402
topperharley1402 04.04.2024 um 13:54:51 Uhr
Goto Top
Ja soweit geht das ja auch. Ping zu heise in v4 und v6 gehen prima raus.
Clients können sich per openvpn auch via v4 oder v6 verbinden. Bekommen eine v4 ip vom openvpn Server und können die Firewall auf ihrem openvpn interface und auf dem lan interface anpingen, von der firewall kann man auch den client anpingen.

Aber die Clients, die von einem v6 Wananschluss kommen, bekommen die Webseite der Firewall nicht auf oder auf andere Geräte dahinter.

Also:
v4 WAN Client pingt Webserver hinter der Firewall ohne Probleme an.
v6 WAN Client pingt Webserver hinter der Firewall ohne Probleme an.
v4 WAN Client kann im Browser den Webserver erreichen.
v6 WAN Client kann im Browser den Webserver nicht erreichen.
aqui
Lösung aqui 04.04.2024 aktualisiert um 18:39:04 Uhr
Goto Top
Oha...OpenVPN ist ja tiefe VPN technische Steinzeit und miese Performance.... Da musst du beachten wie du die Tunnel IP Adressen setzt. Hier ist das recht gut erklärt.
https://www.heise.de/select/ct/2018/13/1529374309620058
Mit einem IKEv2 VPN oder mit Wireguard klappt das problemlos und mit 3facher Tunnelperformance.
Beide machen die Connection mit v6 und tunneln IPv4 problemlos.
topperharley1402
topperharley1402 08.04.2024 um 12:28:45 Uhr
Goto Top
Ja ich werde auch Openvpn weit werfen. Keine Lust mehr drauf! face-big-smile
Trotzdem Danke face-smile