tiopheles
Goto Top

VPN Tunnel über IPv6 möglich?!

Ersteinmal danke ich Aqui für seinen Link bei der Geschichte WLAN Router erweitern um einen Router (Repeater) etc.
Habe es gestern mal probiert und es hat funktioniert, das Signal ist nicht das beste trotz Erweiterung, aber ich habe es
ja auch an der Arbeit probiert und zw. EG und 1. OG ist ne dicke Metalldecke wie ich schmerzlich erfahren musste...
naja aber unter relativ normalen Bedingungen wäre das Signal sicher stärker gewesen, darum soll es jetzt aber nicht gehen.

Neue Aufgabe:

VPN Tunnel/ Dokumentation über Funktionsweise/ Möglichkeiten und Einsatzgebiete

---) 1. VPN Verbindungen laufen ja am besten bei einer Statischen IP, welche sich nicht ändert, IPv6 Adressen kann man aber manuell statisch festlegen (laut Microsoft Technet?!)
Wäre es da den nicht Sinnvoll eine VPN Verbindung über IPv6 laufen zu lassen, da man so 2 statische Punkte hat die man miteinander verbinden kann?
---) 2. Kommt in diesem Fall das GRE zum Einsatz, da man so einen Tunnel per IPv6 aufbaut über ein IPv4 Netz wie das Internet?!
---) 3. Was muss ich noch konfigurieren, um einen Tunnel aufbauen zu können (in der Firewall)?
---) 4. Lässt sich eigentlich mit jedem Router ein VPN Tunnel aufbauen? (Eigeninteresse hat mit der Aufgabe nix zu tun)


Freue mich wenn jemand mir antwortet egal wie simpel die Frage vlt. auch klingen mag face-smile

Content-ID: 164890

Url: https://administrator.de/forum/vpn-tunnel-ueber-ipv6-moeglich-164890.html

Ausgedruckt am: 23.12.2024 um 12:12 Uhr

bnutzinger
bnutzinger 19.04.2011 um 16:45:46 Uhr
Goto Top
Hi,

Zitat von @Tiopheles:
Neue Aufgabe:

VPN Tunnel/ Dokumentation über Funktionsweise/ Möglichkeiten und Einsatzgebiete

---) 1. VPN Verbindungen laufen ja am besten bei einer Statischen IP, welche sich nicht ändert,
Ist der VPN-Tunnel erst einmal aufgebaut ist es egal, ob die IP statisch oder dynamisch ist, das ändert nichts an der Qualität der Verbindung.
Leichter (und sicherer, weil man den zulässigen Adressbereich einschränken kann) ist es natürlich den Tunnel zwischen zwei statischen Adressen auf zu bauen. Im Zweifelsfall geht das aber auch mit dynamischen IPs über (Dyn)DNS. Hier wäre noch darauf zu achten, dass dynamische IP auch meistens Zwangstrennung (idR alle 24h) bedeutet, was natürlich auch den VPN-Tunnel killt.

IPv6 Adressen kann man aber manuell statisch festlegen (laut Microsoft Technet?!)
Jain. Eine IPv6-Adresse besteht aus zwei Komponenten
1) Dem network präfix (am ehesten mit der IP-Adresse in IPv4 zu vergleichen)
2) Der host adress (am ehesten mit der MAC-Adresse einer Netzwerkkarte zu vergleichen)
Beide Teile zusammen ergeben die IPv6-Adresse. Der network präfix kann frei gewählt werden, die host adress ist meist bauseitig vergeben.

Wäre es da den nicht Sinnvoll eine VPN Verbindung über IPv6 laufen zu lassen, da man so 2 statische Punkte hat
die man miteinander verbinden kann?
Wäre durchaus Sinnvoll, so wie der Einsatz von IPv6 generell sinnvoll wäre. Da aber bei den meisten ISPs noch IPv4 angesagt ist ist das bei einem VPN-Tunnel über das Internet (was ja der normale Einsatzfall für ein VPN-Tunnel ist) nicht drin.

---) 2. Kommt in diesem Fall das GRE zum Einsatz, da man so einen Tunnel per IPv6 aufbaut über ein IPv4 Netz wie das
Internet?!
Nö. Das geht schlichtweg nicht. Gibst du deinem Provider ne IPv6 IP und erwartest von ihm, dass er den dazugehörigen Adapter irgendwo im Internet findet wird der nur blöd aus der Wäsche gucken.

---) 3. Was muss ich noch konfigurieren, um einen Tunnel aufbauen zu können (in der Firewall)?
Einiges, ohne Anspruch auf Vollständigkeit:
- Grundsätzlich: Handelt es sich um eine ausgehende oder eingehende VPN-Verbindung
- Loggen sich Clients bei dem Gateway ein oder ist es ein Site-to-Site VPN
- Zieladresse des "anderen" VPN-Gateways (oder Clients/Servers)
- Authentifizierungsmethode (üblicherweise L2TP, PPTP oder IPSec) und je nach Methode dann eben noch Benutzername / Kennwort / Shared Secret
- Verschlüsselung
- Routing (Welcher Adressbereich soll über den Tunnel laufen und auf welchem Adressbereich möchtest du "drüben rauskommen"

---) 4. Lässt sich eigentlich mit jedem Router ein VPN Tunnel aufbauen? (Eigeninteresse hat mit der Aufgabe nix zu tun)
Naja, mit jedem eben, der VPN unterstützt. Das tun die billigdinger vom Provider in der Regel nicht.

Hoffe das hilft weiter.
Grüße
Bastian
aqui
aqui 20.04.2011 um 15:49:35 Uhr
Goto Top
v4 VPNs funktionieren auch mit DynDNS also eine feste IP Adresse benötigt man nicht unbedint. Als v6 Endkunde sind die Planungen derzeit so das du einen /64er Präfix bekommst. Damit hast du dann genügent Möglichkeiten dir eine feste v6 IP Adresse einzustellen. Natürlich kann man die statisch konfigurieren. Auf Routern sowieso.
IPv6 bringt auch im Protokoll schon eine Verschlüsselung mit und nicht als externen IPsec Stack wie bei v4. Supportet dein Router das also ist ein v6 Tunnel nur ein simpler Mausklick !
Tiopheles
Tiopheles 20.04.2011 um 17:06:57 Uhr
Goto Top
Mal angenommen ich lege über den Router eine IPv4 Adresse fest für den Tunnel, die ändert sich zwar jeden Tag, aber ich könnte ja trotz allem auf den Router ansich von wo anders aus zugreifen (wenn Fernsteuerung aktiviert), um so zwar umständlich, aber machbar den Tunnel bei einer sich ändernden IP einfach neu aufzubauen?!
Theoretisch brauche ich ja nicht viel dazu, wenn hinterm Router ein kleiner Heimserver steht der immer die selbe Adresse hat brauche ich ja nur die externe Adresse anzuvisieren und dann halt wieder den Teilnehmer, welcher damit angebunden werden soll? Benutzer etc. bleibt ja auch dem Server eingestellt.

Hintergrund der Sache ist halt das wir Kunden bedienen, welche teilweise am Rande des Inlandes, vereinzelt auch im Ausland sitzen und bei uns auf dem Server ihre Daten auslagern und diese über einen VPN Tunnel übertragen. Daher wäre dies echt noch wichtiger zu verstehen wie man sowas einrichtet, weil man kann ja nicht mal eben nach Innsbruck fahren nur um die Verbindung neu einzustellen face-smile
Aber das nur am Rande. Wollte mal bei gelegenheit einen Tunnel nach Hause aufbauen um zu sehen, ob das alles so funktioniert wie es soll oder ob es noch Sachen gibt die ich nicht so verstanden habe oder die nicht hinhauen face-smile

---) Muss ich dem Gateway sagen, von welcher Adresse aus der Client zugreift oder kann ich das dann von jedem PC aus, wenn ich die Anmeldeinformationen habe?
--) wäre doch unvorteilhaft, gerade weil man ja von einem beliebigen Punkt aus zugreifen möchte -) der Sinn des VPN wäre verfehlt = man muss es dem Gateway nicht sagen weil man ja selbst nicht weiß
von wo aus man gerade zugreift. Richtig?
aqui
aqui 21.04.2011 um 08:58:51 Uhr
Goto Top
Es ist nicht wirklich klar wo genau dein Problem ist. Jeder vernünftige VPN Router baut seinen VPN Tunnel sofort wieder auf wenn die Session abgebrochen ist. Ob das durch eine IP Adresserneuerung passiert ist oder ob einer ein Kable gezogen hat o.ä. Spielt dabei keinerlei Rolle.
Auch bei wechselnden IP Adressen kann der VPN Zugang auch immer über einen DynDNS Hostnamen geschehen. damit ist trotz wechselnder IP ein VPN Aufbau immer sicher möglich.
Genau das ist ja der Sinn so einer VPN Verbindung mit einer klassischen Anwendung wie du sie hast.
In der Beziehung ist deine o.a. Problembeschreibung (die eigentlich keine ist) irgendwie unverständlich bzw. Nicht nachvollziehbar.
Da du auch nun wieder von IPv4 sprichst ist die Verwirrung umso größer... face-sad
Was willst du also wirklich ??
Tiopheles
Tiopheles 21.04.2011 um 12:42:13 Uhr
Goto Top
Tut mir leid, ich wollte keinen Verwirren, ich muss mir das ganze nur erst richtig durch den Kopf gehen lassen und bei mir war da halt der gedanke, wenn sie die IP ändert woher weiß der andere dann wie er mich finden soll, wenn ich es ihm nicht manuell nochmal sage. Aber ich glaube ich verstehe worauf das hinausläuft, ändert sich ein Detail an der Adressierung, teilt der eine Standort, dies dem anderen mit und umgekehrt, auf diese weise kommt immer eine Verbindung zu stande face-smile

sorry wenn ich euch verwirre möchte das halt verstehen, da stelle ich lieber eine doofe frage mehr um es mir nochmal erklären zu lassen face-smile danke nochmal für die antwort face-smile
aqui
aqui 22.04.2011 um 12:36:40 Uhr
Goto Top
Das geht alles über den Umweg "DynDNS" ! Das ist der Schlüssel. Sobald sich die IP ändert wird das dem DynDNS Name Server mitgeteilt duch den DynDNS Client im Router.
Der DynDNS Name Server hat allso immer und jederzeit die aktuelle und korrekte IP Adresse zu seinem entsprechend konfigurierten Hostnamen.
Der VPN Client nutzt zum Connect immer den DynDNS Haostnamen. Folglich ist es logisch wenn dieser im Nameserver in die IP aufgelöst wird das immer die aktuelle IP verwendet wird.
Das ist ja genau der tiefere Sinn eines DynDNS Accounts. Das Thema IPv6 ist dafür also völlig überflüssig !

Wenn du das nun final gerafft hast bitte dann auch
Wie kann ich einen Beitrag als gelöst markieren?
nicht vergessen !