drago13
Goto Top

VPN mit Mikrotik über IPv6 öffentlich

Liebe Community!

Ich habe ein derzeit bestehendes System welches so aufgebaut ist.
zeichnung vpn server mikrotik

Das System besteht aus einem VPN Server und mehreren VPN-Clients.
Hinter den Clients liegen Webserverdienste welche dann über die Öffentliche IP des VPN-Servers angesprochen werden. z.B. über Smartphone.

Das ganze funktioniert recht zuverlässig, und über mehrere Jahre hinweg. Zum Einsatz kommen ausschließlich Mikrotik Router.

Leider hat sich gezeigt dass, wenn ein Provider auf IPv6 umstellt, dass heißt das Modem des Providers bekommt eine IPv6 zugewiesen, dass die PPTP Verbindung nicht mehr funktioniert.

Gut dann lass ich beim Provider wieder auf IPv4 umstellen dann läuft es wieder.

Aber irgendwann werden alle auf IPv6 umstellen.


So nun zu meinen Fragen.

1. Was würdet ihr verändern damit dies auch bei IPv6 weiter funktioniert.
2. Würde das bestehende System auch bei Dual Stack oder Dual Stack Light funktionieren?
3. Hat das schon jemand mit Mikrotik Routern über IPv6 gemacht?

Es ist auch so das die WebService hinter den Mikrotik Routern immer und ausschließlich IPv4 bleiben.


Mein Ziel ist es das Service anbieten zu können auch wenn der Kunde IPv6 vom Provider bekommt. Ohne den Provider wieder um die Rückstellung zu bitten.

Hoffe ich konnte mein Problem deutlich zeigen, falls noch etwas fehlt bitte einfach schreiben dann reiche ich es nach.

Danke und LG

Content-Key: 663178

Url: https://administrator.de/contentid/663178

Ausgedruckt am: 28.03.2024 um 17:03 Uhr

Mitglied: aqui
aqui 15.03.2021 aktualisiert um 15:18:21 Uhr
Goto Top
PPTP ist nicht dein Ernst, oder ?
https://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
Hat auch außerdem kein einziger Client mehr an Bord genau aus dem obigen Grund !
Besser also L2TP oder sowas verwenden das sicherer ist:
Scheitern am IPsec VPN mit MikroTik
dass heißt das Modem des Providers bekommt eine IPv6 zugewiesen
Ein reines NUR Modem bekommt niemals eine IP Adresse zugeweisen, denn es nimmt gar nicht am IP Forwarding Teil und ist rein nur Medienwandler.
Du hast hier vermutlich laienhaft mal wieder die Begriffe "Modem" und "Router" wirr durcheinandergebracht und redest hier von einer Router Kaskade mit doppeltem NAT und doppelter Firewall, oder ?
Guckst du dazu auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
dass heißt das Modem des Providers bekommt eine IPv6 zugewiesen, dass die PPTP Verbindung nicht mehr funktioniert.
Das kann mehrere Gründe haben.
Bei IPv6 bekommst du wechselnde Prefixes per Prefix Delegation vom Provider. Damit hast du dann auch wechselnde IPv6 Adressen für deinen Router und PPTP VPN Server.
Was auch möglich ist das du an einem DS-Lite https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite) Provider hängst der zentral CGN macht. In solchen Netzen ist ein IPv4 VPN dann vollkommen unmöglich wegen der zentralen NAT Option beim Provider.
Leider gibts du da nur sehr oberflächliche und auch verwirrende Infos so das eine zielführende Antwort ohne weitere Details zu kennen schwer bis unmöglich wird. face-sad
Allein die Aussage "...lass ich beim Provider wieder auf IPv4 umstellen" ist unsinnig, denn bei einem Dual Stack Provider konfigurierst du schlicht und einfach kein v6 dann macht der Zugang eben nur v4. Es ist also leider recht wirr und unklar was du hier wirklich meinst.
Zu den Fragen:
1.) Kann man nicht beantworten da alle Details zum Provider und welche Technik dieser betreibt (Dual Stack, DS-Lite, CGN) fehlt.
2.) Ja ! DS-Lite nur via v6
3.) Ja, natürlich. Simple millionenfache Praxis. Guckst du auch hier: IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Mitglied: Drago13
Drago13 15.03.2021 um 16:47:05 Uhr
Goto Top
Hallo aqui!

vielen Dank für deine schnelle Antwort!

Zitat von @aqui:

PPTP ist nicht dein Ernst, oder ?
https://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
Hat auch außerdem kein einziger Client mehr an Bord genau aus dem obigen Grund !

PPTP verwenden nur noch die ältesten Router habe schon vor Jahren auf OVPN umgestellt. Wobei es hier nie um Sicherheit ging. Es ging immer nur um die Funktion eines Zugangs bei einer Dynamischen IP im Hausgebrauch. Halt um den Dyndns Dienst zu umgehen. Selbst wenn der VPN gehackt werden würde, würde keine Information ausgelesen werden können.
Und selbst wenn sind das absolut keine relevanten Informationen die jemand nützen oder jemanden schaden könnten ;)
Aber Danke für den Artikel der war sehr aufschlussreich.


Besser also L2TP oder sowas verwenden das sicherer ist:
Scheitern am IPsec VPN mit MikroTik
dass heißt das Modem des Providers bekommt eine IPv6 zugewiesen
Ein reines NUR Modem bekommt niemals eine IP Adresse zugeweisen, denn es nimmt gar nicht am IP Forwarding Teil und ist rein nur Medienwandler.
Du hast hier vermutlich laienhaft mal wieder die Begriffe "Modem" und "Router" wirr durcheinandergebracht und redest hier von einer Router Kaskade mit doppeltem NAT und doppelter Firewall, oder ?
Sorry falsch ausgedrückt... habe viel mit Kunden zu tun die unbedingt einen Unterschied zwischen Mikrotik Router und Provider Router brauchen, so habe ich mir angewöhnt zum Provider Router immer Modem zu sagen, damit die Kunden wissen von was ich rede. ;)
JA, rede wie in der Abbildung gezeigt von einer Router-Kaskade, doppeltes NAT ist es nicht da der Mikrotik Router ja die VPN-Verbindung zum VPN-Router aufbaut. Somit wird NAT direkt nur auf dem Mikrotik und am VPN-Server durchgeführt. Der Provider Router NATet keinen Port von WAN nach LAN.

Guckst du dazu auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
dass heißt das Modem des Providers bekommt eine IPv6 zugewiesen, dass die PPTP Verbindung nicht mehr funktioniert.
Das kann mehrere Gründe haben.
Bei IPv6 bekommst du wechselnde Prefixes per Prefix Delegation vom Provider. Damit hast du dann auch wechselnde IPv6 Adressen für deinen Router und PPTP VPN Server.
Was auch möglich ist das du an einem DS-Lite https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite) Provider hängst der zentral CGN macht. In solchen Netzen ist ein IPv4 VPN dann vollkommen unmöglich wegen der zentralen NAT Option beim Provider.
Leider gibts du da nur sehr oberflächliche und auch verwirrende Infos so das eine zielführende Antwort ohne weitere Details zu kennen schwer bis unmöglich wird. face-sad

Sorry wenn dich das verwirrt. Ich versuch es einmal ein wenig besser zu erläutern.
Derzeit ist es so das der Mikrotik Router der, irgendwo auf der Welt, hinter einem beliebigen Provider Router, hinter einen beliebigen (IPv4) Internetanschluss steht, eine OVPN oder PPTP Verbindung, zum VPN-Server aufbaut. Hinter diesem Mikrotik Router hängt ein Webservice auf das ich zugreife. Der Zugriff funktioniert über die Öffentlich fixe IPv4 des VPN-Servers welcher am Port erkennt auf welche bestehende VPN-Verbindung er mich natet. Beispiel: meinvpnserver.com:4711 VPN-Server Natet auf 10.10.10.1:4711
Verwirrend ist es vielleicht deswegen weil das VPN nicht zur Sicherheit, sondern rein zum erleichterten Zugriff auf ein Webservice, welches sich hinter verschiedensten Dynamischen IP-Adressen befindet, gedacht ist. Vergleichbar mit Netzwerkkameras wo man vom Hersteller automatisch einen Zugang bekommt wenn das Ding eine Internetverbindung hat. zb. hikconnect.com von Hikvision


Allein die Aussage "...lass ich beim Provider wieder auf IPv4 umstellen" ist unsinnig, denn bei einem Dual Stack Provider konfigurierst du schlicht und einfach kein v6 dann macht der Zugang eben nur v4. Es ist also leider recht wirr und unklar was du hier wirklich meinst.
Das du dass als unsinnig deklarierst, ist etwas voreilig. Kunden die zb. UPC oder Magenta (oder wie auch immer die jetzt heißen) als Provider haben, bekommen einen neuen Router zugeschickt auf den sie selber keinen Zugang haben. Kunde schließt das Gerät an und hat Internet. Alle funktioniert außer VPN-Tunnel. Nach der Prüfung erhalten wir nur eine IPv6 Adresse vom Provider, nach Rücksprache mit dem Provider meinte er. Zitat "OK! Sofern sie VPN brauchen müssen wir wieder auf IPv4 zurückstellen." gesagt getan und läuft wieder.
Dabei kann weder ich noch sonst wer auf den Router zugreifen außer der Provider selber.

Zu den Fragen:
1.) Kann man nicht beantworten da alle Details zum Provider und welche Technik dieser betreibt (Dual Stack, DS-Lite, CGN) fehlt.
JA das ist richtig. Diese Informationen habe ich auch nicht. da es unterschiedliche Provider und Anschlüsse sind.

2.) Ja ! DS-Lite nur via v6
Danke!

3.) Ja, natürlich. Simple millionenfache Praxis. Guckst du auch hier: IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
Denke das dies in meinen Fall nicht unbedingt zutrifft. Ich bekomme auf meinem Mikrotik Router keine IPv6 vom Provider sondern eine IPv4 vom Provider Router. Und meine Clients haben keine IPv6 Konfiguration sondern eine IPv4. Toller Artikel aber leider nicht zutreffend. Danke dennoch.


Hoffe es ist jetzt weniger verwirrend!

LG
Mitglied: aqui
aqui 15.03.2021 um 19:18:39 Uhr
Goto Top
bekommen einen neuen Router zugeschickt auf den sie selber keinen Zugang haben.
Nein, das ist nicht richtig. Den bekommst du nur zugeschickt wenn du das beauftragst, also explizit willst. Beauftragst du das nicht bekommst du auch keinen Router. Verantwortungsvolle Netzwerker verzichten deshalb auf dankend auf den Schroitt den die meisten Provider einem da dann aufdrücken und beschaffen selber einen Router der den Namen auch verdient. face-wink Mal ganz abgesehen das man solchen Elektroschrott so oder so im Rahmen der Leihe 10mal oder noch mehr bezahlt.
"OK! Sofern sie VPN brauchen müssen wir wieder auf IPv4 zurückstellen." gesagt getan und läuft wieder.
Na ja das das Unsinn bzw. wohl dem Level 1 Helpdesk geschuldet ist der solch technisch unqualifizierte Antworten vom Zettel abliest weisst du als gestandener Netzwerker ja sicher auch selber.
Zu 99% dreht es sich hier um DS-Lite Anschlüsse bei denen man zwar eine gültige öffentliche IPv6 Adresse bekommt aber keine öffentliche IPv4 Adresse.
An so einem Anschluss scheitert dann natürlich jeglicher IPv4 VPN Versuch schon von vornherein, weil du das zentrale NAT Gateway des Provider ja nicht überwinden kannst. IPv6 hingegen klappt fehlerlos, denn du bekommst ja in jedem Falle eine gültige IPv6 Adresse. DS-Lite bedeutet dann VPN Server Betrieb ist rein nur mit IPv6 möglich und nicht mit IPv4.
Hast du aber einen Dual Stack Provider von dem du sowohl eine öffentliche IPv4 als auch IPv6 Adresse bekommst, dann kannst du VPN Betrieb sowohl mit IPv4 als auch IPv6 machen.
Es kommt also entscheident darauf an WAS für einen Provider du hast und welche Anschluß Art der erfordert bzw. an dem Anschluß vorhanden ist. Diese Information ist für dich und deine Mikrotik Konfig essentiell wichtig !
Näheres zum Dual Stack Betrieb von OpenVPN auch hier:
https://www.heise.de/select/ct/2018/13/1529374309620058
Ich bekomme auf meinem Mikrotik Router keine IPv6 vom Provider sondern eine IPv4 vom Provider Router.
Das ist sachlich falsch. Jedenfalls dann falsch wenn du einen Dual Stack Provider hat. Dort bekommt der Router per IPv6 Prefix Delegation eine lokale IPv6 Adresse die der Router auch intntern wieder per Prefix Delegation weitergibt an einen kaskadierten Router wie deinen kaskadierten Mikrotik. Das ist simpler Standard.
Wenn du hier bei einem Dual Stack also keine IPv6 am Mikrotik bekommst hast du schlicht und einfach einen Konfig Fehler bei deinem Mikrotik im IPv6 Setup begangen.
In sofern war der Artikel schon zutreffend, zeigt er doch deinen Konfig Fehler im IPv6 Setup. Bei IPv6 gilt das sowohl für die Dual Stack als auch DS-Lite Anschlüsse, denn alle vergeben ihren Prefix mit DHCPv6 an die dahinter kaskadierten Router. Siehe hier z.B. bei einer FritzBox
pv6-iapd