OpenVPN Server mit IPv4 und IPv6 - IPv4 keine Verbindung

Mitglied: FISI-Lehrling
Hallo zusammen,

ich versuche gerade einen OpenVPN Server mit einer public IPv4 und einer global scope IPv6, nach einer Anleitung zu installieren.
Hier der Link:
https://community.hetzner.com/tutorials/install-and-configure-openvpn-on ...

Habe mir dafür extra einen VPS Server bei Hetzner gemietet, da colinardo, in diesem Thread https://administrator.de/forum/openwrt-mit-wireguard-ipv6-im-lan-667550. ... erwähnt hat, dass Hoster zum Teil die IPv6 Subnetze nicht richtig routen, sondern nur, die IPs die auch dem Server zugeordnet sind.

Ich habe also alles exakt wie in der Anleitung gemacht und dann auf der Seite https://ipv6-test.com/ geschaut, was rauskommt.
Leider geht nur IPv6.
Bei IPv6 sehe ich auch die zugeordnete IPv6 vom Server. Funktioniert, wie es soll.

Kann ich dann auch an Webseiten testen die only IPv4 sind.
Die gehen dann nicht. Auch Ping auf IPv4 geht nicht.

Ich habe wie gesagt, das Tutorial exakt befolgt.
Einträge in sysctl.conf und Firewall, wie im Tutorial.

Das ganze schon einmal wiederholt und davor den Server zurückgesetzt.
Server ist Debian 9.
Der Eintrag tun-ipv6 ist wohl veraltet aber ich hab mal nichts verändert.

Hier die Configs:

Server:

und der Client:

Hier route -6 -n

und route -n

Was mir auffällt, ist dass die public IPv4 keine route Eintrag hat.

Grüße
FISI

Content-Key: 771712423

Url: https://administrator.de/contentid/771712423

Ausgedruckt am: 27.07.2021 um 18:07 Uhr

Mitglied: aqui
aqui 22.06.2021 aktualisiert um 22:48:58 Uhr
Goto Top
Den OpenVPN Merkzettel hast du Schritt für Schritt abgearbeitet ?
https://administrator.de/tutorial/merkzettel-vpn-installation-mit-openvp ...
Du solltest die Protokolldefinitionen auch dediziert mit "udp4" bezeichnen bei Dual Stack.
Überflüssige Kommandos wie deine "sndbuf / rcvbuf" solltest du entfernen bzw. auf dem Default belassen. Gilt auch für den Client mit seinen tunnel mtu und mss Werten die sind eh die Default Werte und kannst du deshalb auch weglassen.
Hilfreich wie immer in solchen Fällen ist das Server und Client Log beim Aufbau der v4 Verbindung.
Hast du zudem auch beachtet das du NAT/Masquerading (IP Adress Translation) am Server machen musst denn dein internes VPN Client IP Netz ist ein RFC 1918 privates IP Netz was im Internet nicht geroutet wird. -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Zum NAT machst du leider keinerlei Angaben.
Mitglied: FISI-Lehrling
FISI-Lehrling 23.06.2021 aktualisiert um 10:23:18 Uhr
Goto Top
Hallo aqui,

Zitat von @aqui:
Hast du zudem auch beachtet das du NAT/Masquerading (IP Adress Translation) am Server machen musst denn dein internes VPN Client IP Netz ist ein RFC 1918 privates IP Netz was im Internet nicht geroutet wird. -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE
Zum NAT machst du leider keinerlei Angaben.
Doch mache ich. Sogar FETT -> Einträge in sysctl.conf und Firewall, wie im Tutorial.

Die IPv6 Adresse ist, wie man sehen kann eine Hetzner global scope IPv6, weil es eine Anleitung bei Hetzner ist. Die IPs habe ich natürlich angepasst und gefühlt hundert mal korrigiert.
Habe den Server auch zurückgesetzt, Pause gemacht und neu aufgesetzt, da ich nicht weiß, mit welchen Parametern/Befehlen auf dem dem Debian Server, die Fehler ersichtlich werden.

Wenn ihr mir sagen könnt, was ich posten soll, dann mache ich das natürlich.


Ich mache den Aufbau der Verbindung mit proto udp, weil ich ja schon wie bei Wireguard ein Tunnel mit IPv4 und IPv6 möchte.
Nur IPv4 oder Ipv4 und Ipv6 mit "lokalen" IPv6 Adressen ist ja insofern kein Problem, weil es dafür schon fertige und funktionierende Anleitungen gibt.

Gerade bei Wireguard ist es wohl übliche auch die IPv6 auf eine global scope IPv6 vom Server zu NATen, wenn ich das richtig verstehe. Die Anleitungen wo einfach die local scope mit einer global scope ersetzt wird, funktioniert halt nicht so.

Ich versuche aber ein System aufzubauen, wo die globalen IPv6 funktionieren und dafür habe ich bis jetzt noch keine funktionierende Anleitung für Wireguard oder OpenVPN.

Es ist leider auch nicht so, dass man einfach, z.B. bei Wireguard, eine IPv6 dazuschreibt.

Siehe den verlinkten letzten Thread zu Wireguard. Es funktioniert halt nicht so einfach, wie du zum Teil hinschreibst.

Zum NAT machst du leider keinerlei Angaben.
Doch mache ich, ich schreibe doch dass ich die Anleitung von Hetzner 1 zu 1 übernommen habe und dass IPv6 mit global scope Adresse super funktioniert aber eben IPv4 nicht.

Ich mache das auch nicht weil ich es produktiv benötige, sondern weil ich das lernen will.
Für ein produktiv System würde ich ein bewährtes und funktionierendes Wireguard Setting nehmen, wo IPv4 und IPv6 localscope mit NAT funktioniert.

Hier das Verbindungs Log mit funktionierendem IPv6 und nicht funktionierendem IPv4.
Die public IPv4 und global scope IPv6 sind "ausgeXt"

Hier die Daten aus Windows 10 mit der OpenVPN Verbindung:
Ich bekomme eine IPv6 mit der alles wunderbar funktioniert.
IPv4 10.8.0.2 aus dem 10.8.0.0 Netz. Ping auf Server IPv4 10.8.0.1 funktioniert.


Ping IPv4 OpenVPN IP

Ping auf public IPv4 von OpenVPN Server funktioniet auch:

Ping auf Google geht mit IPv6 aber nicht mit IPv4. Auch nicht wenn ich auf IP 8.8.8.8 pinge um DNS Probleme auszuschliessen.

Deshalb vermute ich, als Laie, dass die IPv4 Route auf dem OpenVPN Server fehlt, wie ich oben ja schon geschrieben habe.
Wenn ich einen funktionierenden OpenVPN Server mit IPv4 vergleiche, dann hat der funktionierende eine IPv4 Route mit public IP drin, die dieser nach der Hetzner Anleitung nicht hat.

route -n (IPv4) auf dem Hetzner Server. Hier sehe ich keine Route der public IPv4:

Woher die 172.31.1.1 kommt kann ich auch nicht erkennen.

Allerdings ist das route -n ohne OpenVPN auch nicht anderst.

Hoffe mal nicht, dass das so ein Konstrukt ist, wie colinardo das in dem Wireguard Post von Netcup beschrieben hat.

Grüße
FISI
Mitglied: aqui
aqui 23.06.2021 aktualisiert um 11:20:37 Uhr
Goto Top
Deshalb vermute ich, als Laie, dass die IPv4 Route auf dem OpenVPN Server fehlt,
Das wäre ja Unsinn. Du kannst ja oben eine öffentliche IPv4 Adresse vom Server aus pingen ! Würde deine Default Route fehlen oder falsch sein dann wäre das gar ja nicht möglich. Das ist also OK bzw. ein ip route show sollte dir das auch zeigen.

Anhand deiner Outputs oben kann man ja auch sehen das der VPN Tunnel fehlerfrei zustande kommt sowohl für IPv4 als auch IPv6. OpenVPN selber ist damit auch raus als Fehlerquelle.
Vermutung ist das irgend etwas mit dem Masquerading/NAT nicht klappt, sprich das der VPN Client Traffic nicht v4 geNATet wird.
Verdächtig ist die RFC 1918 IP Adresse 172.31.1.1 auf dem Ethernet 1 Interface. Das lässt befürchten das Hetzner ggf. selber intern RFC 1918 IP Adressen nutzt und diese nochmal global NATet.
Hier wäre mal ein ip address show vom Server hilfreich. Auch ein route print von deinem OpenVPN Windows 10 Client wäre hilfreich bei aktivem Tunnel.

Die 172.31er RFC 1918 Adresse ist auf alle Fälle eine Adresse die da normal NICHT hingehört bzw. irgendwie ein Indiz ist das der Provider da intern nicht mit öffentlichen IPs arbeitet. Das solltest du nochmals genauer ansehen.
Ggf. auch mit tcpdump dir mal den VPN Traffic ansehen.
so ein Konstrukt ist, wie colinardo das in dem Wireguard Post von Netcup beschrieben hat.
Zumindestens für IPv4 kann es das ja nicht sein, denn der NAT/Masquerading Prozess im Server setzt ja alles um auf die (eigentlich) öffentliche IP Adresse des VPN Servers. Aus dem Internet sieht es also so aus als ob aller Traffic der VPN Netze dahinter nur von dieser Adresse gesendet wird. Klassisches und simples Prinzip wie es an jedem Heimnetz mit xDSL NAT Router der Fall ist.
Verdächtig ist hier das die Server Adresse eine RFC 1918 IP ist die im Internet NICHT geroutet wird. Das lässt wieder irgendein NAT "Konstrukt" beim Hoster befürchten weil der keine IPv4 Adressen mehr hat.
https://www.heise.de/newsticker/meldung/Das-war-s-mit-IPv4-Adressen-in-E ...
Mitglied: FISI-Lehrling
FISI-Lehrling 23.06.2021 aktualisiert um 12:55:09 Uhr
Goto Top
Hallo aqui,

danke dir für deine Info.
Die 172.31er RFC 1918 Adresse ist auf alle Fälle eine Adresse die da normal NICHT hingehört bzw. irgendwie ein Indiz ist das der Provider da intern nicht mit öffentlichen IPs arbeitet.
Dachte mir dass da was nicht stimmt.

Wenn ich dann das ganze auf nem Netcup VPS probiere, dann kommt die Geschichte die colinardo erwähnt hat, dass IPv6 bei denen nicht so einfach geroutet wird.

Bei Netcup habe ich IPv6 dazu gemietet und teste die nächsten Tage mal damit.

Hier das ip addr show vom Server:

Ich verstehe auch nicht warum die IPv6 (global scope) mit deprecated bezeichnet wird. Aber das nur am Rande.
Das ist die IPv6 die statisch unter /etc/network/interfaces.d/50-cloud-init.cfg zugeordnet ist.

Interessant ist, dass dort die IPv4, die mit ip addr show angezeigt wird nicht hinterlegt ist:

Hier ein route print vom Windows 10 Client. Ist ein bisschen gekürzt:


Für mich läuft das ähnlich wie mit der Wireguard IPv6 Geschichte bei Netcup.
Da wollte ich eigentlich die Übungen aus dem Buch machen und dafür lediglich auf einem PC/Laptop eine IPv4 und eine global scope IPv6 und Tage später habe ich einen zusätzlichen VPS bei Hetzner und bin immer noch am frickeln. :-( face-sad

Grüße
FISI
Mitglied: aqui
Lösung aqui 23.06.2021 aktualisiert um 13:19:37 Uhr
Goto Top
Die Hostadresse inet 9X.XXX.XXX.178/32 ist ja eine öffentliche. Irritierend ist aber die Subnetzmaske mit 32 Bit. Das ist zwar nicht falsch zeigt aber das die irgendwie mit Hostrouting o.ä. arbeiten. Da kann man jetzt nur im freien Fall spekulieren wie deren Netzwerk dahinter aussieht. Das wirst du vermutlich ohne einen Anruf der Hotline nicht klären können. Das Problem liegt aber auf alle Fälle hier.
Das zeigt auch dein Client Routing Output der nur das Servernetz als Hostroute propagiert. Eigentlich sollte er das gar nicht, da du kein Push Kommando dafür gesetzt hast.
Was noch auffällt ist das die Metrik deiner Default Route über den OVPN Tunnel schlechter ist als deine lokale über das lokale LAN. Der Windows Client wird also primär immer das lokale Default Gateway verwenden anstatt der OVPN Tunneladresse. Das must du ggf. auch noch anpassen. Ein Traceroute (tracert bei Winblows) sollte dir das anhand der Routing Hops sofort zeigen.
Interessant ist, dass dort die IPv4, die mit ip addr show angezeigt wird nicht hinterlegt ist:
Das ist auch klar und du siehst sicher selber warum ! Die v4 IP des Servers kommt per DHCP dort und die v6 liegt auf einem Subinterface.
Ich verstehe auch nicht warum die IPv6 (global scope) mit deprecated bezeichnet wird.
Das kommt sehr wahrscheinlich dadurch das deine v6 Adresse mit Privacy Extensions rennt:
https://wiki.ubuntuusers.de/IPv6/Privacy_Extensions/
https://www.elektronik-kompendium.de/sites/net/1601271.htm
Dadurch verändert sie sich dynamisch um keine Rückschlüsse auf den User zuzulassen. Ist aber irgendwie komisch, denn sie ist statisch zugewiesen was das eigentlich verhindert. Ggf. solltest du die PEs mal deaktivieren im Server um zu sehen ob das dann verschwindet.
Mitglied: FISI-Lehrling
FISI-Lehrling 23.06.2021 aktualisiert um 13:45:58 Uhr
Goto Top
Hallo aqui,

danke für die Infos.
Die Hostadresse inet 9X.XXX.XXX.178/32 ist ja eine öffentliche. Irritierend ist aber die Subnetzmaske mit 32 Bit. Das ist zwar nicht falsch zeigt aber das die irgendwie mit Hostrouting o.ä. arbeiten. Da kann man jetzt nur im freien Fall spekulieren wie deren Netzwerk dahinter aussieht. Das wirst du vermutlich ohne einen Anruf der Hotline nicht klären können. Das Problem liegt aber auf alle Fälle hier.

Ich werde wohl wieder zum Buch zurückkehren und den Wireguard mit IPv4 und IPv6 über NAT nehmen, bzw. wenn ich eine global scope Adresse benötige den Hetzner OpenVPN, dann nur für die IPv6 Übung.

Dadurch verändert sie sich dynamisch um keine Rückschlüsse auf den User zuzulassen. Ist aber irgendwie komisch, denn sie ist statisch zugewiesen was das eigentlich verhindert. Ggf. solltest du die PEs mal deaktivieren im Server um zu sehen ob das dann verschwindet.
Wenn du hier sagst, dass das komisch ist, dann ist es für komisch hoch 64 und somit ausserhalb meiner Vorstellungskraft.

Ich verstehe von der Materie vieles nur rudimentär und muss aufpassen, dass ich nicht den Faden verliere.

Aber bei diesem und dem IPv6 Wireguard Thema haben du und colinardo mir sehr geholfen.
Danke dafür.

Das Problem war, dass ich nicht erkennen konnte, wo ich nach einer Lösung suchen muss.
Wenn nun klar ist, dass das bei den 2 Euro 80 Cent VPS Servern liegt, ist mir schon sehr geholfen.
Die werden so billig wie möglich, dem Kunden zur Verfügung gestellt und somit funktioniert das Routing nicht wie in einem Tutorial dargestellt.

Ich habe jetzt ja auch noch die Möglichkeit, mit einer zugekauften IPv6 Adresse bei Netcup weiter zu testen.
Wenns Probleme gibt, rufe ich im administrator.de wieder um Hilfe.

Grüße
FISI
Mitglied: aqui
Lösung aqui 23.06.2021 um 14:36:00 Uhr
Goto Top
dann ist es für komisch hoch 64 und somit ausserhalb meiner Vorstellungskraft.
Deiner vielleicht aber nicht die eines Netzwerkers. ;-) face-wink Aber man müsste dazu das Provider Setup kennen. Hier kann man nur im freien Fall raten was wenig zielführend ist.
Ruf die Hotline an und beschwere die das dein NAT auf die per DHCP zugewiesene /32 Server Adresse nicht klappt und was der Grund ist. Die Antwort dürfte spannend für alle Beteiligten sein... ;-) face-wink Es dürften aber in der Tat das Setup der VPS Server sein. Das stehen die Einschränkungen sicher im Kleingedruckten.
rufe ich im administrator.de wieder um Hilfe.
Immer gerne ! ;-) face-wink
https://administrator.de/faq/32
Heiß diskutierte Beiträge
question
Zentrale Lösung für Antivirus, Patchmanagement, Monitoring in einem?Andre82msVor 1 TagFrageSicherheits-Tools24 Kommentare

Hallo Zusammen, ich suche schon seit längerem eine gute Lösung, welche ein gut funktionierendes Patchmanagement, Anti-Virenscanner mit EDR sowie ein Monitoring in einem Dashboard beinhaltet ...

question
Signatur-Programm gesuchtArchanVor 1 TagFrageOutlook & Mail20 Kommentare

Hi zusammen, vorab als Info: Wir haben eine Mischung aus Office365 und 2016, sowie einen Exchange 2016 Server. Ich bin nun auf der Suche nach ...

question
Mitarbeiter ab gewisser Uhrzeit am arbeiten hindern gelöst passy951Vor 15 StundenFrageWindows Netzwerk19 Kommentare

Guten Morgen zusammen, ich wurde gestern von unseren Betriebsrat gefragt ob es möglich ist ab z.B. 20 Uhr die Mitarbeiter daran zu hindern zu arbeiten. ...

question
Mikrotik vs. Unify - Warum mögt Ihr Unify nicht? gelöst tagol.deVor 1 TagFragePeripheriegeräte10 Kommentare

Hallo immer wieder lese ich, das hier auf Administrator.de Mikrotik bevorzugt wird. Aktuell habe ich zuhause 2 AP von Unify + Controller auf einem Rasberry ...

question
Wie lange kann ein PC in der Domain ohne Kontakt zur Domain betrieben werden?DaxAtDS9Vor 15 StundenFrageNetzwerkmanagement15 Kommentare

Hallo, bis vor einer Woche habe ich einen SBS2011 Server inkl. AD etc. in Betrieb gehabt. Nun habe ich ihn abgeschaltet und nutze einer der ...

question
Home-Office Laptop kann DNS nicht auflösenLubosNovyVor 1 TagFrageWindows Netzwerk15 Kommentare

Hallo zusammen, Situation: Manche Kolleginnen arbeiten im Home-Office und sind über Sophos SSL Client verbunden. Die Notebooks sind von mir vorbereitet, in die Domänen aufgenommen ...

question
Domänencontroller von Windows Server 2016 auf Windows Server 2019 migrierenEstefaniaVor 8 StundenFrageWindows Server24 Kommentare

Hi. Kann mir ein Admin bei folgendem Problem weiterhelfen !? Wir haben insgesamt 5 Domänencontroller, die auf einem Windows Server 2016 laufen. Nun ist es ...

report
Positive Erfahrung mit VodafoneitebobVor 1 TagErfahrungsberichtFlatrates3 Kommentare

Hallo zusammen, vieles, was ich im Beitrag Erfahrungsbericht Vodafone - Die endlose Vertragsänderung und in Kommentaren lese, deckt sich mit meinen persönlichen Erfahrungen mit Vodafone. ...