VPN mit Mikrotik über IPv6 öffentlich
Liebe Community!
Ich habe ein derzeit bestehendes System welches so aufgebaut ist.
Das System besteht aus einem VPN Server und mehreren VPN-Clients.
Hinter den Clients liegen Webserverdienste welche dann über die Öffentliche IP des VPN-Servers angesprochen werden. z.B. über Smartphone.
Das ganze funktioniert recht zuverlässig, und über mehrere Jahre hinweg. Zum Einsatz kommen ausschließlich Mikrotik Router.
Leider hat sich gezeigt dass, wenn ein Provider auf IPv6 umstellt, dass heißt das Modem des Providers bekommt eine IPv6 zugewiesen, dass die PPTP Verbindung nicht mehr funktioniert.
Gut dann lass ich beim Provider wieder auf IPv4 umstellen dann läuft es wieder.
Aber irgendwann werden alle auf IPv6 umstellen.
So nun zu meinen Fragen.
1. Was würdet ihr verändern damit dies auch bei IPv6 weiter funktioniert.
2. Würde das bestehende System auch bei Dual Stack oder Dual Stack Light funktionieren?
3. Hat das schon jemand mit Mikrotik Routern über IPv6 gemacht?
Es ist auch so das die WebService hinter den Mikrotik Routern immer und ausschließlich IPv4 bleiben.
Mein Ziel ist es das Service anbieten zu können auch wenn der Kunde IPv6 vom Provider bekommt. Ohne den Provider wieder um die Rückstellung zu bitten.
Hoffe ich konnte mein Problem deutlich zeigen, falls noch etwas fehlt bitte einfach schreiben dann reiche ich es nach.
Danke und LG
Ich habe ein derzeit bestehendes System welches so aufgebaut ist.
Das System besteht aus einem VPN Server und mehreren VPN-Clients.
Hinter den Clients liegen Webserverdienste welche dann über die Öffentliche IP des VPN-Servers angesprochen werden. z.B. über Smartphone.
Das ganze funktioniert recht zuverlässig, und über mehrere Jahre hinweg. Zum Einsatz kommen ausschließlich Mikrotik Router.
Leider hat sich gezeigt dass, wenn ein Provider auf IPv6 umstellt, dass heißt das Modem des Providers bekommt eine IPv6 zugewiesen, dass die PPTP Verbindung nicht mehr funktioniert.
Gut dann lass ich beim Provider wieder auf IPv4 umstellen dann läuft es wieder.
Aber irgendwann werden alle auf IPv6 umstellen.
So nun zu meinen Fragen.
1. Was würdet ihr verändern damit dies auch bei IPv6 weiter funktioniert.
2. Würde das bestehende System auch bei Dual Stack oder Dual Stack Light funktionieren?
3. Hat das schon jemand mit Mikrotik Routern über IPv6 gemacht?
Es ist auch so das die WebService hinter den Mikrotik Routern immer und ausschließlich IPv4 bleiben.
Mein Ziel ist es das Service anbieten zu können auch wenn der Kunde IPv6 vom Provider bekommt. Ohne den Provider wieder um die Rückstellung zu bitten.
Hoffe ich konnte mein Problem deutlich zeigen, falls noch etwas fehlt bitte einfach schreiben dann reiche ich es nach.
Danke und LG
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 663178
Url: https://administrator.de/forum/vpn-mit-mikrotik-ueber-ipv6-oeffentlich-663178.html
Ausgedruckt am: 27.12.2024 um 05:12 Uhr
3 Kommentare
Neuester Kommentar
PPTP ist nicht dein Ernst, oder ?
https://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
Hat auch außerdem kein einziger Client mehr an Bord genau aus dem obigen Grund !
Besser also L2TP oder sowas verwenden das sicherer ist:
Scheitern am IPsec VPN mit MikroTik
Du hast hier vermutlich laienhaft mal wieder die Begriffe "Modem" und "Router" wirr durcheinandergebracht und redest hier von einer Router Kaskade mit doppeltem NAT und doppelter Firewall, oder ?
Guckst du dazu auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Bei IPv6 bekommst du wechselnde Prefixes per Prefix Delegation vom Provider. Damit hast du dann auch wechselnde IPv6 Adressen für deinen Router und PPTP VPN Server.
Was auch möglich ist das du an einem DS-Lite https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite) Provider hängst der zentral CGN macht. In solchen Netzen ist ein IPv4 VPN dann vollkommen unmöglich wegen der zentralen NAT Option beim Provider.
Leider gibts du da nur sehr oberflächliche und auch verwirrende Infos so das eine zielführende Antwort ohne weitere Details zu kennen schwer bis unmöglich wird.
Allein die Aussage "...lass ich beim Provider wieder auf IPv4 umstellen" ist unsinnig, denn bei einem Dual Stack Provider konfigurierst du schlicht und einfach kein v6 dann macht der Zugang eben nur v4. Es ist also leider recht wirr und unklar was du hier wirklich meinst.
Zu den Fragen:
1.) Kann man nicht beantworten da alle Details zum Provider und welche Technik dieser betreibt (Dual Stack, DS-Lite, CGN) fehlt.
2.) Ja ! DS-Lite nur via v6
3.) Ja, natürlich. Simple millionenfache Praxis. Guckst du auch hier: IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
https://www.heise.de/security/artikel/Der-Todesstoss-fuer-PPTP-1701365.h ...
Hat auch außerdem kein einziger Client mehr an Bord genau aus dem obigen Grund !
Besser also L2TP oder sowas verwenden das sicherer ist:
Scheitern am IPsec VPN mit MikroTik
dass heißt das Modem des Providers bekommt eine IPv6 zugewiesen
Ein reines NUR Modem bekommt niemals eine IP Adresse zugeweisen, denn es nimmt gar nicht am IP Forwarding Teil und ist rein nur Medienwandler.Du hast hier vermutlich laienhaft mal wieder die Begriffe "Modem" und "Router" wirr durcheinandergebracht und redest hier von einer Router Kaskade mit doppeltem NAT und doppelter Firewall, oder ?
Guckst du dazu auch hier:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
dass heißt das Modem des Providers bekommt eine IPv6 zugewiesen, dass die PPTP Verbindung nicht mehr funktioniert.
Das kann mehrere Gründe haben.Bei IPv6 bekommst du wechselnde Prefixes per Prefix Delegation vom Provider. Damit hast du dann auch wechselnde IPv6 Adressen für deinen Router und PPTP VPN Server.
Was auch möglich ist das du an einem DS-Lite https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite) Provider hängst der zentral CGN macht. In solchen Netzen ist ein IPv4 VPN dann vollkommen unmöglich wegen der zentralen NAT Option beim Provider.
Leider gibts du da nur sehr oberflächliche und auch verwirrende Infos so das eine zielführende Antwort ohne weitere Details zu kennen schwer bis unmöglich wird.
Allein die Aussage "...lass ich beim Provider wieder auf IPv4 umstellen" ist unsinnig, denn bei einem Dual Stack Provider konfigurierst du schlicht und einfach kein v6 dann macht der Zugang eben nur v4. Es ist also leider recht wirr und unklar was du hier wirklich meinst.
Zu den Fragen:
1.) Kann man nicht beantworten da alle Details zum Provider und welche Technik dieser betreibt (Dual Stack, DS-Lite, CGN) fehlt.
2.) Ja ! DS-Lite nur via v6
3.) Ja, natürlich. Simple millionenfache Praxis. Guckst du auch hier: IPv6 mittels Prefix Delegation bei PPPoE (Mikrotik)
bekommen einen neuen Router zugeschickt auf den sie selber keinen Zugang haben.
Nein, das ist nicht richtig. Den bekommst du nur zugeschickt wenn du das beauftragst, also explizit willst. Beauftragst du das nicht bekommst du auch keinen Router. Verantwortungsvolle Netzwerker verzichten deshalb auf dankend auf den Schroitt den die meisten Provider einem da dann aufdrücken und beschaffen selber einen Router der den Namen auch verdient. Mal ganz abgesehen das man solchen Elektroschrott so oder so im Rahmen der Leihe 10mal oder noch mehr bezahlt."OK! Sofern sie VPN brauchen müssen wir wieder auf IPv4 zurückstellen." gesagt getan und läuft wieder.
Na ja das das Unsinn bzw. wohl dem Level 1 Helpdesk geschuldet ist der solch technisch unqualifizierte Antworten vom Zettel abliest weisst du als gestandener Netzwerker ja sicher auch selber.Zu 99% dreht es sich hier um DS-Lite Anschlüsse bei denen man zwar eine gültige öffentliche IPv6 Adresse bekommt aber keine öffentliche IPv4 Adresse.
An so einem Anschluss scheitert dann natürlich jeglicher IPv4 VPN Versuch schon von vornherein, weil du das zentrale NAT Gateway des Provider ja nicht überwinden kannst. IPv6 hingegen klappt fehlerlos, denn du bekommst ja in jedem Falle eine gültige IPv6 Adresse. DS-Lite bedeutet dann VPN Server Betrieb ist rein nur mit IPv6 möglich und nicht mit IPv4.
Hast du aber einen Dual Stack Provider von dem du sowohl eine öffentliche IPv4 als auch IPv6 Adresse bekommst, dann kannst du VPN Betrieb sowohl mit IPv4 als auch IPv6 machen.
Es kommt also entscheident darauf an WAS für einen Provider du hast und welche Anschluß Art der erfordert bzw. an dem Anschluß vorhanden ist. Diese Information ist für dich und deine Mikrotik Konfig essentiell wichtig !
Näheres zum Dual Stack Betrieb von OpenVPN auch hier:
https://www.heise.de/select/ct/2018/13/1529374309620058
Ich bekomme auf meinem Mikrotik Router keine IPv6 vom Provider sondern eine IPv4 vom Provider Router.
Das ist sachlich falsch. Jedenfalls dann falsch wenn du einen Dual Stack Provider hat. Dort bekommt der Router per IPv6 Prefix Delegation eine lokale IPv6 Adresse die der Router auch intntern wieder per Prefix Delegation weitergibt an einen kaskadierten Router wie deinen kaskadierten Mikrotik. Das ist simpler Standard.Wenn du hier bei einem Dual Stack also keine IPv6 am Mikrotik bekommst hast du schlicht und einfach einen Konfig Fehler bei deinem Mikrotik im IPv6 Setup begangen.
In sofern war der Artikel schon zutreffend, zeigt er doch deinen Konfig Fehler im IPv6 Setup. Bei IPv6 gilt das sowohl für die Dual Stack als auch DS-Lite Anschlüsse, denn alle vergeben ihren Prefix mit DHCPv6 an die dahinter kaskadierten Router. Siehe hier z.B. bei einer FritzBox