7
PfSense VPN mit AD über IPv6
Hallo Zusammen,
wir haben bei uns im Netzwerk eine pfSense und benutzen hier den OpenVPN Server mit Anbindung an die AD.
Nun ist es so, dass irgendein Baggerfahrer in der Umgebung unser Telefonkabel durchgebaggert hat und wir auf
dem LTE Fallback laufen. Dieser ist Vodafone und wir bekommen lediglich eine IPv6 Adresse sodass unser VPN
nicht mehr funktioniert. Ich dachte da an eine Site 2 Site Verbindung an irgendeinen billigen vServer? Hat jemand
dafür vllt. einen Workaround?
Danke euch im Voraus
wir haben bei uns im Netzwerk eine pfSense und benutzen hier den OpenVPN Server mit Anbindung an die AD.
Nun ist es so, dass irgendein Baggerfahrer in der Umgebung unser Telefonkabel durchgebaggert hat und wir auf
dem LTE Fallback laufen. Dieser ist Vodafone und wir bekommen lediglich eine IPv6 Adresse sodass unser VPN
nicht mehr funktioniert. Ich dachte da an eine Site 2 Site Verbindung an irgendeinen billigen vServer? Hat jemand
dafür vllt. einen Workaround?
Danke euch im Voraus
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 670734
Url: https://administrator.de/forum/pfsense-vpn-mit-ad-ueber-ipv6-670734.html
Ausgedruckt am: 20.02.2025 um 01:02 Uhr
7 Kommentare
Neuester Kommentar
Ich dachte da an eine Site 2 Site Verbindung an irgendeinen billigen vServer?
Als quick and dirty Workaround wäre die Anmietung eines solchen denkbar. VPN-Verbindung (OpenVPN oder auch IPSec) von der pf als Client zum vServer. Und dann ein Port-Forwarding vom vServer in Richtung PF, sodass die dortigen Dienste genutzt werden können (OpenVPN-Einwahl, Proxies, etc.).Ist halt die Frage, wie stabil und performant die Lösung sein muss.
vServer Jumphost Lösung für VPN
Das gleiche Prinzip klappt natürlich statt IPsec oder IKEv2 auch mit dem antiken OVPN oder Wireguard und einem gleichzeitigen Site-to-Site Setup. Quasi also als universaler VPN Server.
Müsste aber auch nur sein wenn die pfSense nicht an einem Dual Stack Provider hängt, also einem der steinzeitmässig nur v4 supportet, was heute ja eher selten ist besonders bei Business Accounts.
Solltest du also auch vom Provider IPv6 an der pfSense haben bräuchtest du so einen Jumphost nicht zwingend.
Auch lesenswert dazu:
https://www.heise.de/select/ct/2018/13/1529374309620058
Das gleiche Prinzip klappt natürlich statt IPsec oder IKEv2 auch mit dem antiken OVPN oder Wireguard und einem gleichzeitigen Site-to-Site Setup. Quasi also als universaler VPN Server.
Müsste aber auch nur sein wenn die pfSense nicht an einem Dual Stack Provider hängt, also einem der steinzeitmässig nur v4 supportet, was heute ja eher selten ist besonders bei Business Accounts.
Solltest du also auch vom Provider IPv6 an der pfSense haben bräuchtest du so einen Jumphost nicht zwingend.
Auch lesenswert dazu:
https://www.heise.de/select/ct/2018/13/1529374309620058
Danke Männers...
Wir haben bei unserer Telekom Karte einfach eine APN am laufen, welche eine ipv4 Adresse zieht. Was ich eben auf die schnelle rausgefunden habe, bietet (oder hat mal..) das Vodafone auch an:
"Der Standard-apn web.vodafone.de muss im Router auf cda.vodafone.de geändert werden"
Wäre wahrscheinlich die einfachste Lösung, je nachdem wie lange die normale Leitung ausfällt, müsstest du wohl über dyndns lenken, da sich die Adresse alle X Tage bzw. nach Router Neustart resettet.
"Der Standard-apn web.vodafone.de muss im Router auf cda.vodafone.de geändert werden"
Wäre wahrscheinlich die einfachste Lösung, je nachdem wie lange die normale Leitung ausfällt, müsstest du wohl über dyndns lenken, da sich die Adresse alle X Tage bzw. nach Router Neustart resettet.
eine APN am laufen, welche eine ipv4 Adresse zieht.
Bedenke das sowas dann auch gleichzeitig immer mit einem bestimmten Tarif einhergeht! Das sollte man also auf dem Radar haben um nicht am Monatsende eine böse Überraschung zu erleben!Mal ganz davon abgesehen das viele Billo Wiederverkäufer auch schlicht und einfach keine IPv4 Adressen mehr haben und es schon allein deshalb im Keim scheitert weil die zu CG-NAT gezwungen sind.
https://www.heise.de/news/Das-war-s-mit-IPv4-Adressen-in-Europa-4596197. ...
DynDNS ist im Mobilfunknetz mit normalen Tarifen zumindestens eingehend auch keine Option weil bekanntlich kein Provider aus dem Internet eingehenden Traffic in sein Mobilnetz erlaubt. Weder v4 noch v6. Das löst dann nur ein Jumphost.
Ich meine auch gelesen zu haben, dass rechtlich gesehen eine APN, die frei verfügbar ist, keine Mehrkosten verursachen darf. Aber keine Gewähr darauf. Wir haben jedenfalls noch keinen Cent mehr bezahlt (sowohl Firma als auch Privattarif). Denke mal, der Kollege ist direkt bei Vodafone, falls es sich um eine Firma handelt, also kein Billo Wiederverkäufer.
Und der Artikel ist von 2019. Da wird ständig Panik gemacht - ändern tut sich seither nix.
Und der Artikel ist von 2019. Da wird ständig Panik gemacht - ändern tut sich seither nix.
dass rechtlich gesehen eine APN, die frei verfügbar ist, keine Mehrkosten verursachen darf.
Sie laufen in der Praxis aber dennoch auf und ob man einen nicht zum Vertrag passenden APN dann mit den Kosten rechtlich durchsetzen kann steht auf einem anderen Blatt. Provider haben in der Regel deutlich besser gefüllte Kriegskassen! Es muss sich ja auch nichts ändern bzw. kann ja auch gar nicht wenn der Status Quo festzementiert ist. Sieht man ja auch schon im Heimanschlussbereich wo nur noch die Großen öffentliche v4s vergeben. Das Gros der kleineren kann nur noch DS-Lite oder CG-NAT mit den dann bekannten Einschränkungen. Telekom hat eben historisch einen Berg von v4 Kontingenten.
Aber zurück zum Thema des TOs...
