Kann pfSense Gui per VPN von einem IPv6 Client nicht erreichen
Ich habe ein pfsense Cluster bei Hetzner stehen.
Zwei Rootserver mit pfsense installiert.
Diese sind über mehrere vswitche untereinander verbunden.
Die WAN CARP VIP lauft über einen vswitch, auf dem ein ipv4 und ein ipv6 netz gebucht sind.
VPN wird aufgebaut. Erhalte eine ipv4 und eine ipv6 Adresse.
Ich kann vom Client aus, die ipv4 und ipv6 LAN Adresse von beiden Firewalls und vpm CARP VIP pingen. Dnsauflösung vom Client zu den Firewalls geht auch. Ping von den Firewalls via ipv4 und ipv6 zum client gehen auch.
Wenn ich per ipv4 wan auf dem Client teste, komme ich auf die Firewall.
Wo bin ich nun falsch abgebogen?
VG
Zwei Rootserver mit pfsense installiert.
Diese sind über mehrere vswitche untereinander verbunden.
Die WAN CARP VIP lauft über einen vswitch, auf dem ein ipv4 und ein ipv6 netz gebucht sind.
VPN wird aufgebaut. Erhalte eine ipv4 und eine ipv6 Adresse.
Ich kann vom Client aus, die ipv4 und ipv6 LAN Adresse von beiden Firewalls und vpm CARP VIP pingen. Dnsauflösung vom Client zu den Firewalls geht auch. Ping von den Firewalls via ipv4 und ipv6 zum client gehen auch.
Wenn ich per ipv4 wan auf dem Client teste, komme ich auf die Firewall.
Wo bin ich nun falsch abgebogen?
VG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 23954677194
Url: https://administrator.de/forum/kann-pfsense-gui-per-vpn-von-einem-ipv6-client-nicht-erreichen-23954677194.html
Ausgedruckt am: 22.12.2024 um 04:12 Uhr
13 Kommentare
Neuester Kommentar
VPN wird aufgebaut.
Wenig hilfreiche Information... Welches der zahllosen VPN Protokolle nutzt du denn?? 🤔
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Von dieser wichtigen und von dir leider unterschlagenden Information hängt doch maßgeblich eine zielführende Antwort ab!
Warum so ein uraltes und wenig performantes VPN Protokoll?? 🤔
Mit den o.a. L2TP und IKEv2 Varianten wärst du doch deutlich besser bedient zumal du dir dann auch die unnötige Frickelei mit überflüssiger VPN Software auf den Clients und deren Konfig ersparen kannst. Aber nun gut, warum einfach und performant für v4 und v6 lösen wenn man es schlecht und umständlich auch machen kann...
Ohne dein genaues OVPN v6 Setup zu kennen wird eine zielführende Hilfe schwierig. Ggf. hilft diese Lektüre:
https://www.heise.de/select/ct/2018/13/1529374309620058
Merkzettel: VPN Installation mit OpenVPN
Besser wäre ein anderes VPN Protokoll zu nutzen. Direkt ins OS embeddete VPN Clients macht das v6 Handling auch deutlich leichter.
Mit den o.a. L2TP und IKEv2 Varianten wärst du doch deutlich besser bedient zumal du dir dann auch die unnötige Frickelei mit überflüssiger VPN Software auf den Clients und deren Konfig ersparen kannst. Aber nun gut, warum einfach und performant für v4 und v6 lösen wenn man es schlecht und umständlich auch machen kann...
Ohne dein genaues OVPN v6 Setup zu kennen wird eine zielführende Hilfe schwierig. Ggf. hilft diese Lektüre:
https://www.heise.de/select/ct/2018/13/1529374309620058
Merkzettel: VPN Installation mit OpenVPN
Besser wäre ein anderes VPN Protokoll zu nutzen. Direkt ins OS embeddete VPN Clients macht das v6 Handling auch deutlich leichter.
Die pfsense hat aber wanseitig ipv4 und ipv6.
Was schonmal sehr gut ist!.Kannst du direkt von der pfSense aus dem Diagnostics Menü mit einem v6 Ping einen öffentlichen Host pingen wie z.B. www.heise.de? Alternativ dessen v6 IP: 2A02:2E0:3FE:1001:7777:772E:2:85 ??
Wenn das klappt zeigt es zumindestens erstmal das das IPv6 Internet Routing sauber klappt.
Der Rest ist dann kinderleicht. Wenn du ein statisches Subnetz bekommen hast trägst du das einfach am LAN Port ein und gut ist. Sofern du ein Subnetz per PD übers WAN bekommst aktivierst du das Tracking Interface. Fertisch..
Ob das dann klappt testest du ebenfalls wieder aus dem Diagnostics Menü mit einem v6 Ping eines öffentlichen Hosts. Diesmal aber indem du die Source IP auf das LAN Interface setzt! So wird der Ping dann mit einer Absender IP aus deinem eigenen lokalen LAN gesendet.
Klappt das, klappt das v6 Routing von deinem LAN und es wird dann auch mit allen IPv6 Endgeräten im lokalen LAN funktionieren!
Ich hab aber kein ipv6 im lokalen lan.
Das ist per se schlecht. Dann scheitert natürlich ein IPv6 Zugang aus dem lokalen LAN von vorn herein, denn dafür ist analog wie beim IPv4 ja eine entsprechende IPv6 Adressierung erforderlich. Das weiss aber auch ein IP Laie...Vielleicht machst du aber auch einen Denkfehler, denn wenn du wie du schreibst ein IPv6 /64er per Prefix Delegation am WAN Port "zugewiesen" bekommst ist ja genau dieses Netz für dein lokales LAN.
Das was dem Router/FW per prefix Delegation zugewiesen wird ist immer das Netz für das lokale LAN. Das es automatisch per PD kommt muss man es auch nicht selber konfigurieren.
Die pfSense deligiert es immer automatisch an sein lokales LAN wenn das WAN Interface auf den Adress Config Type
gesetzt ist!
Nee per Prefix Delegation bekomm ich nix.
OK, dann musst du ja statisch adressieren und benötigst ein öffentlches v6 Netzwerk für dein LAN Segment. Wie sollte es dann anderes gehen?! 🤔Und ich will auch von meinem internen Netzen nicht per ipv6 raus kommunizieren.
Aahhhsooo...! OK, dann kannst du das natürlich vergessen mit dem v6 auf dem LAN.Ich habe nur Mitarbeiter, die keinen reinen ipv4 Anschluss haben
OK, verstanden!Gut, dann ist das natürlich eine ganz einfache Kiste. Wenn du ein /64er v6 Netz statisch zugeteilt bekommen hast dann vergibst du, wie klassische bei v4 auch, eine v6 IP deinem WAN Port (Type=Static) und richtest ein Gateway ein mit der v6 IP die dir dein Provider in dem Netz als Gateway Adresse genannt hat. Fertisch.
v6 Ping Check aus dem Diagnostics Menü mit der gesetzten Source IP vom WAN Port sollte dann v6 technisch sofort klappen!
Alternativ könntest du die v6 IP auch per SLAAC oder DHCPv6 zuteilen lassen am WAN, das geht aber nur wenn der Provider das auch so supportet. Hat aber auch immer den großen Nachteil das das dynmaisch ist und du willst für die Mitarbeiter ja immer eine feste v6 IP, deshalb ist die statische Adressierung immer die bessere Option und eine feste Bank!
Ich kann ja darüber das wan interface in ipv4 und ipv6 wunderbar erreichen.
So sollte es dann ja auch sein und dann hast du alles richtig gemacht. Aber WO ist denn dann nun dein wirkliches Problem? 🤔
Oha...OpenVPN ist ja tiefe VPN technische Steinzeit und miese Performance.... Da musst du beachten wie du die Tunnel IP Adressen setzt. Hier ist das recht gut erklärt.
https://www.heise.de/select/ct/2018/13/1529374309620058
Mit einem IKEv2 VPN oder mit Wireguard klappt das problemlos und mit 3facher Tunnelperformance.
Beide machen die Connection mit v6 und tunneln IPv4 problemlos.
https://www.heise.de/select/ct/2018/13/1529374309620058
Mit einem IKEv2 VPN oder mit Wireguard klappt das problemlos und mit 3facher Tunnelperformance.
Beide machen die Connection mit v6 und tunneln IPv4 problemlos.