jktz84
Goto Top

VPN IPv4 IPV6 Heimarbeitsplatz

Hallo,

wir wollen einem Mitarbeiter einen Heimarbeitsplatz einrichten. Da sowohl der Zugriff auf den TS als auch SIP Server verfügbar sein muss, würden ich am liebsten einen VPN Router beim Mitarbeiter aufstellen.
Folgendes Problem: beim Mitarbeiter liegt ein DS-Lite Anschluss vor, im Unternehmen hingegen reines IPv4, so dass eine site-to-site Verbindung nicht möglich ist. Zudem würde ich ungerne DynDNS einrichten.
Im Unternehmen liegt ein Lancom VPN Router vor, beim Mitarbeiter würde ich einen noch vorhanden Zyxel VPN Router einsetzen.

Kann ich den Zyxel Router so einrichten, dass er sich ähnlich wie eine VPN Software als Client verhält und somit das IPv4/IPv6 / keine feste IP umgehen kann?

Meine jetzigen Versuche scheitern immer mit folgender Log (Zyxel):

The cookie pair is : 0x14703b8826798452 / 0x0000000000000000 [count=3]
Tunnel [VPN_LANCOM] Sending IKE request
Send Main Mode request to [xxx]
Send:[SA][VID][VID][VID][VID][VID][VID][VID][VID]
The cookie pair is : 0x246deceb35b97121 / 0x14703b8826798452 [count=2]
Recv:[SA][VID][VID][VID][VID][VID][VID]
The cookie pair is : 0x14703b8826798452 / 0x246deceb35b97121
Send:[KE][NONCE][PRV][PRV]
Recv:[KE][NONCE][PRV][PRV]
The cookie pair is : 0x14703b8826798452 / 0x246deceb35b97121
Send:[ID][HASH][NOTIFY:INITIAL_CONTACT]
The cookie pair is : 0x246deceb35b97121 / 0x14703b8826798452
Recv:[NOTIFY:INVALID_COOKIE]
The cookie pair is : 0x14703b8826798452 / 0x246deceb35b97121
ISAKMP SA [VPN_LANCOM] is disconnected

Content-ID: 564374

Url: https://administrator.de/contentid/564374

Ausgedruckt am: 24.11.2024 um 14:11 Uhr

Pjordorf
Pjordorf 11.04.2020 um 00:58:03 Uhr
Goto Top
Hallo,

Zitat von @jktz84:
Folgendes Problem: beim Mitarbeiter liegt ein DS-Lite Anschluss vor, im Unternehmen hingegen reines IPv4, so dass eine site-to-site Verbindung nicht möglich ist. Zudem würde ich ungerne DynDNS einrichten.
Das wird nicht funktionieren. IPv6 ist eben kein IPv4 und somit können die nicht miteinander reden. DYNDns hilft dir nur eine IP zu merken und sonst nichts. Lass beim Mitarbeiter eine IPv4 hinlegen und gut ist. Oder legt in eurer Firma eine IPv6. Anders wird es nichts.

Kann ich den Zyxel Router so einrichten, dass er sich ähnlich wie eine VPN Software als Client verhält und somit das IPv4/IPv6 / keine feste IP umgehen kann?
Schau ins zum Gerät gehörendes Handbuch. Solange das deine Geheimnisse bleiben, sind wir draussen...

Gruß,
Peter
jktz84
jktz84 11.04.2020 um 01:20:33 Uhr
Goto Top
Zitat von @Pjordorf:

Das wird nicht funktionieren. IPv6 ist eben kein IPv4 und somit können die nicht miteinander reden. DYNDns hilft dir nur eine IP zu merken und sonst > nichts. Lass beim Mitarbeiter eine IPv4 hinlegen und gut ist. Oder legt in eurer Firma eine IPv6. Anders wird es nichts.

Mir ist noch nicht klar warum ein Router (IPv6) keine VPN Verbindung im Client Modus aufbauen kann. Warum ist im gleicehen Fall eine Verbindung über VPN Software möglich?
Pjordorf
Pjordorf 11.04.2020 aktualisiert um 03:20:30 Uhr
Goto Top
Hallo,

Zitat von @jktz84:
Mir ist noch nicht klar warum ein Router (IPv6) keine VPN Verbindung im Client Modus aufbauen kann.
Vielleicht ist es ihm nicht in seine Firmware engetreufelt worden, neben dein IPv6 und IPv4 Problem. IPv6 ist nicht in der Lage mit IPv4 zu reden.

Warum ist im gleicehen Fall eine Verbindung über VPN Software möglich?
Es hängt von der Software ab. Word kann es áuch nicht, ebensowenig wie Excel. Aber eine Software die gebaut wurde um VPN zu machen sollte das können, aber das hat nur mit den Funktionsumfang dieser Software zu tun. Aber das hat mit dein IPv4 und IPv6 Problem nichts zu tun...

Gruß,
Peter
tikayevent
tikayevent 11.04.2020 um 08:11:28 Uhr
Goto Top
Mit dem Zyxel-Log kann man in diesem Fall nichts anfangen, weil der Zyxel Initiator ist. Die Fehlermeldungen laufen auf dem Responder, also dem LANCOM auf. Hier wird ein Trace benötigt.

Aber ich vermute mal, dass es am Main Mode liegt, da der Main Mode entweder zertifikatsbasiert laufen muss, was ich bei dir nicht glaube, oder zwei bekannte, öffentliche IP-Adressen bei Nutzung eines Preshared Keys benötigt, was bei einem DS-Lite-Anschluss nicht geht.

Hier muss dann der Aggressive Mode in entsprechender Konfiguration genutzt werden.
Windows10Gegner
Windows10Gegner 11.04.2020 um 08:21:56 Uhr
Goto Top
Spricht denn etwas dagegen, einen Tunnel für IPv6 am Server einzurichten?
Hurricane Electric bietet kostenlos welche an, alternativ geht auch Teredo (aber langsam).
tikayevent
tikayevent 11.04.2020 um 08:56:54 Uhr
Goto Top
Zitat von @Windows10Gegner:

Spricht denn etwas dagegen, einen Tunnel für IPv6 am Server einzurichten?
Hurricane Electric bietet kostenlos welche an, alternativ geht auch Teredo (aber langsam).

Ich hab selbst lange Zeit den Tunnelbroker von HE genutzt (ich glaube das waren jetzt 15 Jahre), aber selbst hier hat man einen enormen Performanceverlust. Die Latenz geht hoch, man hat sehr häufig einfach Aussetzer und langsam ist es auch (ich hab einen Gigabitanschluss und an guten Tagen hab ich vielleicht 80Mbit durch den Tunnel bekommen).
Teredo/Miredo ist für den Einsatz mit Routern nicht gedacht und funktioniert nicht.

Lieber mal mit dem Provider in Verbindung setzen und nach einer nativen Anbindung fragen.

Aber das löst die eigentliche Frage nicht, weil ja noch nicht mal bekannt ist, welche Geräte genau zum Einsatz kommen. Bei Zyxel kenn ich den Zustand der IPv6-Integration nicht und bei LANCOM kommt es auf das Gerät an.
142583
142583 11.04.2020 um 09:04:45 Uhr
Goto Top
Schon Mal Direct Access bzw Always-on VPN angeguckt?
Damit haben wir über 10.000 Mitarbeiter online, als wären sie vor Ort. Absolut keine Probleme.
tikayevent
tikayevent 11.04.2020 um 09:27:51 Uhr
Goto Top
Seine Frage war, wie er zwischen zwei Routern von unterschiedlichen Herstellern an zwei Anschlüssen unterschiedlicher Adresstechniken eine VPN-Verbindung aufbauen kann, mit dem Hinweis, dass die Client-Einwahl funktioniert. Sprich Direct Access spielt bei der Frage gar keine Rolle.
142583
142583 11.04.2020 aktualisiert um 12:57:07 Uhr
Goto Top
Ja, wie war dein Vorschlag, den DS-Lite zur Firma zu verbinden?
Das ist ein grundsätzliches Problem, dass sich noch mehr verbreitet bevor es verschwindet.
Kaum hat er einen Privathaushalt am laufen, dann sitzt ein Kollege in einem Hotel und dann beginnt das Ganze von vorn, nur dass das ein noch größeres Hindernis im Weg steht.

Natürlich kann man in jedem Fall Zeit, Hardware und Geld investieren, dann die Foren abklappern, oder es ein Mal richtig lösen.
tikayevent
tikayevent 11.04.2020 um 11:46:39 Uhr
Goto Top
Ich habe nach dem Log des LANCOM gefragt, weil da die Informationen drinstehen und habe darauf hingewiesen, dass man die Verbindung auf den Aggressive Mode umstellen werden muss. Alle Antworten danach bezogen sich nicht mehr auf die eigentliche Frage.
aqui
aqui 11.04.2020 aktualisiert um 12:05:36 Uhr
Goto Top
so dass eine site-to-site Verbindung nicht möglich ist.
Das ist natürlich technischer Quatsch, denn mit einem SSL basierten VPN wie z.B. OpenVPN ist das auch mit DS-Lite Problemlos möglich.
Sofern der Router oder der Client des Mitarbeites der Initiator ist also der Tunnel Teil des VPNs der die Verbundung aufbaut (initiiert).
SSL benutzt nur einen einzigen Protokollport statt mehrerer Protokollkomponenten wie bei anderen VPN Protokollen (IPsec, L2TP usw. UDP 1194 z.B. bei OVPN) so das SSL basierte VPN Protokolle immer problemlos durch das CGN des DS-Lite Providers geht.
Fazit:
Richtig machen und nicht rumraten in einem Administrator Forum, dann klappt es auch mit DS-Lite VPN.:
Merkzettel: VPN Installation mit OpenVPN

Kann ich den Zyxel Router so einrichten, dass er sich ähnlich wie eine VPN Software als Client verhält
Diese Frage kann dir hier technisch niemand beantworten, da du nicht einmal das vom Zyxel verwendete VPN Protokoll benannt hast. Wie sollte man das also beantworten ohne im freien Fall raten zu müssen oder die Kristallkugel zu bemühen ?! face-sad
jktz84
jktz84 11.04.2020 um 14:04:47 Uhr
Goto Top
Zyel USG 20 VPN <--> Lancom 1790 VA
IPSec IKEv1 (testweise zunächst)


Im Unternehmen liegt ein Telekom VDSL Business Tarif vor, beim Mitarbeiter DSlite von Unitymedia.
Von einem weiteren nativen IPv4 Anschluss aus kann ich ohne Probleme das VPN aufbauen, sobald ich aber vom DSlite Anschluss aus eine Verbindung aufbaue, klappt es nicht.
Ich werde mich mal durch die Lancom Logs durchbuddeln.
tikayevent
tikayevent 11.04.2020 um 14:38:19 Uhr
Goto Top
Beim Telekomanschluss hast du vermutlich auch schon IPv6, muss nur konfiguriert werden.

Aber ich vermute mal, dass die VPN-Verbindung zumindest auf der Zyxel-Seite als Main Mode konfiguriert ist, was mit DS-Lite, NAT und/oder dynamischen IP-Adressen nicht oder sehr schlecht funktioniert. LANCOM hat da zwar eine Technik für, um es zu ermöglichen, aber das funktioniert nur mit LANCOM auf beiden Seiten.

In den Logs steht es nur drin, wenn das Logging entsprechend hochgezogen wurde, besser wäre ein VPN-Trace mit VPN-Status und VPN-IKE.
aqui
aqui 11.04.2020 aktualisiert um 18:29:19 Uhr
Goto Top
IPSec IKEv1 (testweise zunächst)
Das ist kein SSL VPN und geht deshalb auch nicht über DS-Lite und Provider CGN.
Du musst ein SSL basiertes VPN verwenden wie OpenVPN oder Wireguard z.B. und die Mitarbeiter Seite muss zwingend immer der VPN Initiator sein !
tikayevent
tikayevent 11.04.2020 um 19:27:47 Uhr
Goto Top
Zitat von @aqui:

IPSec IKEv1 (testweise zunächst)
Das ist kein SSL VPN und geht deshalb auch nicht über DS-Lite und Provider CGN.
Du musst ein SSL basiertes VPN verwenden wie OpenVPN oder Wireguard z.B. und die Mitarbeiter Seite muss zwingend immer der VPN Initiator sein !

Mittlerweile ist IKEv1 so alt und verbreitet, dass es auch NAT-fähig ist, zumindest über NAT-Traversal. Das dürfte dir aber bekannt sein. Wenn man deine Aussage so nimmt, wie du sie hingestellt hast, dürfte auch keine IKEv1-Verbindung über Mobilfunk laufen, aber das ging schon vor 12 Jahren, zumindest bei mir.
jktz84
jktz84 17.04.2020 um 12:16:58 Uhr
Goto Top
Das Problem war tatsächlich IKEv1. Mit IKEv2 klappte der Verbindungsaufbau