datenreise
Goto Top

Windows-VPN ohne IPv6

Hallo zusammen,

ist es möglich, den Windows-VPN-Client auf IPv4 zu zwingen?

Hintergrund: Ein Windows 10-System soll eine VPN-Verbindung zu einem L2TP-VPN-Server aufbauen, der kein IPv6 beherrscht. Da am Internet-Anschluss des Servers keine feste IP-Adresse verfügbar ist, wird mit DynDNS gearbeitet (konkret: DDNSS).
Wenn nun der Windows-VPN-Client den DynDNS-Namen auflöst, erhält er offenbar stets die IPv6-Adresse des Anschlusses und kann deswegen keine Verbindung aufbauen.

Sobald die IPv4-Adresse als Ziel in der VPN-Konfiguration steht, funktioniert der Verbindungaufbau sofort.
Wenn ich das Client-System auf IPv4 beschränke, kommt die VPN-Verbindung folgerichtig ebenfalls zustande, hier auch mit DynDNS-Namen als Ziel.

Was nicht geholfen hat:
- IPv6 in den Eigenschaften der VPN-Verbindung zu deaktivieren
- IPv6 in den Eigenschaften der VPN-Verbindung mit höherer Metrik als IPv4 zu konfigurieren


Ich wäre sehr dankbar über Tipps und Hinweise zu dieser Thematik!

Content-ID: 5795809812

Url: https://administrator.de/forum/windows-vpn-ohne-ipv6-5795809812.html

Ausgedruckt am: 22.12.2024 um 08:12 Uhr

5175293307
5175293307 02.02.2023 aktualisiert um 13:01:10 Uhr
Goto Top
Wenn nun der Windows-VPN-Client den DynDNS-Namen auflöst, erhält er offenbar stets die IPv6-Adresse des Anschlusses und kann deswegen keine Verbindung aufbauen.
Dann nimm die IPv6 Adresse (AAAA-Record) aus der DNS-Zone für den Host raus, bzw. veröffentliche keine IPv6 über deinen DynDNS Dienst.
Looser27
Looser27 02.02.2023 aktualisiert um 13:06:09 Uhr
Goto Top
Moin,

bei DDNSS kannst Du die IPv6 Auflösung deaktivieren (in den Einstellungen der Verbindung im Portal).

2023-02-02 13_05_15-window

Dann wird immer IPv4 aufgelöst und das sollte funktionieren.

Gruß

Looser
Datenreise
Datenreise 02.02.2023 um 13:37:12 Uhr
Goto Top
Danke für die freundliche und auch die etwas weniger freundliche Antwort. face-wink

IPv6 wird in anderen Zusammenhängen genutzt und gebraucht. Deswegen ist das einfache Abschalten hier keine Option.
Auch die Deaktivierung von v6 auf den Clients würde natürlich helfen, ist aber nicht gewünscht.

Es muss doch eine andere Lösung geben?
Looser27
Looser27 02.02.2023 aktualisiert um 13:42:05 Uhr
Goto Top
Es muss doch eine andere Lösung geben?

Steht doch oben. Es wird lediglich bei DDNSS die IPv6 Auflösung unterbunden, so dass immer mit einer IPv4 Adresse geantwortet wird. Dafür braucht an Client oder Server nichts geändert werden.
Ansonsten kannst Du auch 2 DDNSS Hosts konfigurieren und einen mit IPv4 für VPN und einen mit IPv4/v6 einrichten.
5175293307
5175293307 02.02.2023 aktualisiert um 14:13:01 Uhr
Goto Top
Zitat von @Datenreise:
Auch die Deaktivierung von v6 auf den Clients würde natürlich helfen, ist aber nicht gewünscht.
Das hast du offensichtlich missverstanden, nicht am Client oder Server sondern beim DDNS-Dienst darf kein IPv6 AAAA Record veroffentlicht werden, wie @Looser27 auch schon schreibt. IPv6 bleibt dabei überall weiterhin aktiviert!
Datenreise
Datenreise 02.02.2023 um 14:21:52 Uhr
Goto Top
Nein, ich hatte das schon richtig verstanden. Mit dem Satz wollte ich nur deutlich machen, dass das pauschale Abschalten von IPv6 für mich nicht als Lösungsansatz in Frage kommt - egal an welcher Stelle abgeschaltet wird.

Looser27, auch Deinen Vorschlag hatte ich verstanden, es ist nur so, dass die IPv6-Funktionalität der DynDNS-Domäne in anderen Zusammenhängen benötigt wird, ich daher also DualStack nicht abschalten kann.

Was aber in der Tat ein brauchbarer Workaround sein kann, ist das Anlegen eines Zusätzlichen Hosts, der dann v4 only läuft. Vielen Dank dafür, dies löst dann sicherlich meine Aufgabenstellung.

Aus grundsätzlichem Interesse heraus wüsste ich trotzdem weiterhin gerne, ob es clientseitig wirklich keine Möglichkeit gibt, die Nutzung des Protokolls zu beeinflussen.
5175293307
5175293307 02.02.2023 aktualisiert um 14:32:21 Uhr
Goto Top
Zitat von @Datenreise:
Aus grundsätzlichem Interesse heraus wüsste ich trotzdem weiterhin gerne, ob es clientseitig wirklich keine Möglichkeit gibt, die Nutzung des Protokolls zu beeinflussen.
Naja du kannst Split-DNS machen also die Auflösung der Domain lokal vornehmen lassen und dort nur eine IPv4 hinterlegen. Ob du das nun mittels DNS Server oder Hosts Datei machst ist schnuppe, da du aber Remote eine DDNS Adresse nutzt musst du dich um die Aktualisierung der IP lokal selbst kümmern, bspw mittels Skript.
aqui
aqui 02.02.2023 um 15:24:29 Uhr
Goto Top
Was du auch machen kannst ist das interne L2TP IP Netz für die Clients nur mit einem IPv4 Pool zu konfigurieren.
Dann kommt das L2TP VPN nur für IPv4 zustande.
Siehe hier am Beispiel für pfSense Firewall und Mikrotik:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
Dani
Dani 02.02.2023 um 19:32:26 Uhr
Goto Top
Moin,
Was nicht geholfen hat:
- IPv6 in den Eigenschaften der VPN-Verbindung zu deaktivieren
- IPv6 in den Eigenschaften der VPN-Verbindung mit höherer Metrik als IPv4 zu konfigurieren
aus meiner Sicht an der falschen Stelle. Du müsstest IPv6 auf dem LAN/WLAN Adapter deaktivieren.


Gruß,
Dani
aqui
aqui 02.02.2023 aktualisiert um 19:51:40 Uhr
Goto Top
Ist ja nicht gewünscht: ("Auch die Deaktivierung von v6 auf den Clients würde natürlich helfen, ist aber nicht gewünscht.")
Dani
Dani 02.02.2023 um 20:31:25 Uhr
Goto Top
@aqui
Hab ich glatt überlesen... mein Fehler.


Gruß,
Dani
aqui
aqui 08.03.2023 um 15:00:20 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread hier dann auch als erledigt schliessen!