PfSense IPSec VPN mit Unitymedia DS-Lite IPv6 auf Clientseite
Moinsen allerseits!
Habe aktuell das Problem, dass ein Kunde nach Umstellung seines privaten Internetanschlusses auf Unitymedia DS-Lite nicht mehr mit dem Shrew-Client auf die PfSense mit fester IPv4 Adresse verbinden kann.
Er hat nun privat nach Anschlussumstellung offenbar nur noch eine IPv6 Adresse.
Phase 1 geht noch. Phase 2 kommuniziert nichts. Nur "Retransmit Package" im Log ("informational") auf der Client-Seite. Im Log der PfSense habe ich erstmal nix gesehen, was aber an den Logging-Einstellungen liegen könnte.
Die Konfig ist definitiv o.k. Sowohl von meinem IPv4 Anschluss, als auch aus dem Mobilfunkanschluss des Kunden läuft die.
Frage nun: Ist es prinzipiell überhaupt möglich eine IPSec-Verbindung auf diesem Weg herzustellen? (Bei Unitymedia auf der Clientseite)
Bin mir darüber nicht ganz im Klaren...
Geraten habe ich ihm, bei UM auf eine IPv4 Adresse zu bestehen, ob das erfolgreich ist, ist aber eine andere Frage...
Was mich irritiert, ist halt, dass Phase1 funktioniert und bei Phase 2 keine Kommunikation stattfindet. Wo das genau hängenbleibt, konnte ich leider nicht mehr eruieren.
Lange Rede, kurzer Sinn: Hat es jemand geschafft, mit UM clientseitig eine IPSec-VPN Verbindung zu einem Server an fester IP-Adresse (IPv4) aufzubauen, oder ist das vergebliche Liebesmüh?
VG
Buc
Habe aktuell das Problem, dass ein Kunde nach Umstellung seines privaten Internetanschlusses auf Unitymedia DS-Lite nicht mehr mit dem Shrew-Client auf die PfSense mit fester IPv4 Adresse verbinden kann.
Er hat nun privat nach Anschlussumstellung offenbar nur noch eine IPv6 Adresse.
Phase 1 geht noch. Phase 2 kommuniziert nichts. Nur "Retransmit Package" im Log ("informational") auf der Client-Seite. Im Log der PfSense habe ich erstmal nix gesehen, was aber an den Logging-Einstellungen liegen könnte.
Die Konfig ist definitiv o.k. Sowohl von meinem IPv4 Anschluss, als auch aus dem Mobilfunkanschluss des Kunden läuft die.
Frage nun: Ist es prinzipiell überhaupt möglich eine IPSec-Verbindung auf diesem Weg herzustellen? (Bei Unitymedia auf der Clientseite)
Bin mir darüber nicht ganz im Klaren...
Geraten habe ich ihm, bei UM auf eine IPv4 Adresse zu bestehen, ob das erfolgreich ist, ist aber eine andere Frage...
Was mich irritiert, ist halt, dass Phase1 funktioniert und bei Phase 2 keine Kommunikation stattfindet. Wo das genau hängenbleibt, konnte ich leider nicht mehr eruieren.
Lange Rede, kurzer Sinn: Hat es jemand geschafft, mit UM clientseitig eine IPSec-VPN Verbindung zu einem Server an fester IP-Adresse (IPv4) aufzubauen, oder ist das vergebliche Liebesmüh?
VG
Buc
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 384845
Url: https://administrator.de/forum/pfsense-ipsec-vpn-mit-unitymedia-ds-lite-ipv6-auf-clientseite-384845.html
Ausgedruckt am: 08.04.2025 um 00:04 Uhr
6 Kommentare
Neuester Kommentar
Kenne "Schrew" leider nicht, aber da OpenVPN sich gut in pfSense integriert: Mit OpenVPN auf Server und Clientseite sollte es auch mit IPv6 gut klappen, eine Anleitung dazu findet sich hier:
https://www.heise.de/ct/ausgabe/2018-13-OpenVPN-Vernetzung-mit-IPv4-und- ...
https://www.heise.de/ct/ausgabe/2018-13-OpenVPN-Vernetzung-mit-IPv4-und- ...
nicht mehr mit dem Shrew-Client auf die PfSense mit fester IPv4 Adresse verbinden kann.
Was ja allgemein bekannt ist das dann IPv4 VPNs nicht mehr funktionieren !Klar, denn durch das zentrale Carrier grade NAT (CGN) ist das technisch unmöglich.
Guckst du auch hier:
https://www.heise.de/ct/ausgabe/2013-6-Internet-Dienste-trotz-DS-Lite-nu ...
Er hat nun privat nach Anschlussumstellung offenbar nur noch eine IPv6 Adresse.
Normaler Standard bei DS-Lite, denn dort wird IPv6 zum Client genutzt. Sollte man aber auch wissen... Er kann ja im Provider RZ wo zentral das NAT gemacht wird kein Port Forwarding einstellen. Wie soll das gehen. Damit scheitert dann jegliches VPN was inbound, sprich also Richtung seines Netzes geht.
Die oben genannte Option dann einfach auf OpenVPN als VPN Protokoll zu gehen ist völlig sinnfrei, denn sie kann ja dies Problem mit CGN auch nicht lösen. Scheitert also ebenso...!
Outbound klappt es schon. Als Workaround funktioniert also nur einen Server irgendwo zu mieten und den quasi als Interims VPN Server zu nutzen. Teurer Aufwand.
Oder VPN nur mit IPv6 nutzen allerdings braucht man dort kein VPN, da jeder Kunde ja eine öffentliche v6 IP bekommt die man routen kann.
Oder Provider nach einem Business Account fragen OHNE DS-Lite mit fester IP.
Oder...mit einem v4 v6 Portmapper Provider arbeiten der eine öffentliche IP zur Verfügung stellt:
http://www.feste-ip.net/dslite-ipv6-portmapper/allgemeine-informationen ...
Andere Optionen hast du als DS-Lite Opfer nicht.
Genau das ist ja gefragt. ... und klappt ja leider nicht...
Geht hier einwandfrei und lässt sich auch wunderbar mit dem Wireshark oder der Paket Capture Funktion auf der FB zeigen:https://www.schieb.de/706106/fritzbox-packet-sniffer-die-versteckte-schn ...
Die FB macht also per alles richtig mit IPsec. Dann kann es nur daran liegen das der Provider sowas filtert und VPN Traffic nur teuren Business Accounts vorenthält.
So Gruselprovidern wie UM ist das ja durchaus zuzutrauen.
Da wäre es dann schlauer OVPN mit SSL basiertem VPN zu nehmen und das auf einen der Ephemeral UDP Ports zu setzen.
du hast irgendwo ein IPSec mit Unitymedia auf Clienseite und DS-Lite im Einsatz?
Nein, ich meinte das die IPsec Pakete standardkonform die FB verlassen und ins Provider Netzwerk der UM gehen.Ob die das dann bei privaten Accounts filtern oder sonstwie verwursten kann man ja nicht mehr verifizieren.
Es sei denn...
Man hat einen gehosteten Server irgendwo. Dort könnte man mit tcpdump oder Wireshark dann checken ob UM diese Pakete auch sauber weiterleitet ans Ziel oder doch manipuliert. UM wäre das ja zuzutrauen.
Mit NAT Traversal Funktion sollte auch IPsec von der Client Seite immer am Ziel des VPN Servers ankommen sofern dieser NICHT hinter einem DS-Lite mit CG-NAT liegt !
Vielleicht mal bei der UM Hotline nachfragen ob die IPsec Pakete filtern.
Obwohl man sich die Antwort im 1st Level Support sicher schon denken kann bei deren "Fachkenntniss".