Hallo zusammen,
verzweifle etwas an dem Setup mit IPv6. Der Anschluss wurde von Telekom mit fester IPv4 auf Deutsche Glasfaser mit IPv6 umgestellt. Am LANCOM wurde nichts verändert, ausser natürlich der Internet-Zugang von DSL auf ETH1 mit Einwahldaten. Also insbesondere die VPN-Einstellungen sind gleich geblieben. Sie hatten bis zum Schluss auch mit dem MacBook funktioniert. Über die IPv6 klappt es nicht mehr. Ich kann Portfreigaben per IPv6 Firewall Regel anlegen und komme somit von aussen z.B. auf's NAS. Es gibt also ein funktionierendes Routing seiten DG. Wo gibt es eine brauchbare Anleitung für die Einrichtung eines IKEv2 VPN für macOS auf einen LANCOM mit IPv6 WAN? Die Knowledgebase von LANCOM spuckt nichts aus. (Und von Apple kommt ja sowieso seit Jahren nichts Brauchbares mehr, nur noch animierte Emojis…)
Danke schon mal.
IKEv2 zu IPv6 mit Apple
Moderator: Lancom-Systems Moderatoren
-
Dr.Einstein
- Beiträge: 2924
- Registriert: 12 Jan 2010, 14:10
Re: IKEv2 zu IPv6 mit Apple
Unter Firewall / IPv6-Regeln / Inbound-Regeln hast du die Default-Regel "ALLOW-IPSEC" aktiv? Wenn ja, siehst du im VPN-Status Trace den ankommenden Verbindungsversuch vom Client? Wenn nein, siehst du den Versuch im IPv6 Firewalltrace?
Re: IKEv2 zu IPv6 mit Apple
Regel ist drin. Der Trace zeigt folgendes an:
Es sieht mir so aus, als würde der LANCOM sich nicht angesprochen fühen. Die 2a00
1234:98d ist die Server-IP, die im Client eingetragen wurde. Werd auch aus den iPv6-Angaben im Dashboard nicht ganz schlau.
Code: Alles auswählen
[VPN-Status] 2024/03/20 11:38:22,109
Peer <UNKNOWN>: Received an IKE_SA_INIT-REQUEST of 356 bytes
Gateways: [2a00:1234:1234:1234::98d]:500<--[2a02:1234:1234:1234:1234:1234:1234:abab]:500
SPIs: 0xA3EB1E55123412340000000000000000, Message-ID 0
-Could not assign message from 2a02:1234:1234:1234:1234:1234:1234:abab to any existing peer.
-Either Peer's remote gateway is unspecified/unresolved by DNS, or
-IKEv2 message came through unexpected interface, or
-DEFAULT peer is not active
1234:98d ist die Server-IP, die im Client eingetragen wurde. Werd auch aus den iPv6-Angaben im Dashboard nicht ganz schlau.-
Dr.Einstein
- Beiträge: 2924
- Registriert: 12 Jan 2010, 14:10
Re: IKEv2 zu IPv6 mit Apple
Hat der Lancom Router denn die [2a00:1234:1234:1234::98d]? Kannst du (evtl noch testweise die Inbound Regel aktivieren) über die [2a00:1234:1234:1234::98d] den Router via HTTPs/SSH erreichen? Klingt für mich so, als wenn du nicht das globale Präfix des Lancoms ansteuerst.
Re: IKEv2 zu IPv6 mit Apple
Sorry wegen der späten Rückmeldung. Kann ihn auch nicht per HTTPS erreichen. Um es nochmal komplett zu hinterfragen: Welche IPv6 müsste ich denn ansteuern, aus der Liste der Dashboard-Seite? Es gibt unter "IPv6-Adressen" je zwei LAN- und WAN-Adressen. Und unter "IPv6-Präfixe" je eine "angekündigte" und eine "bezogene".
-
Dr.Einstein
- Beiträge: 2924
- Registriert: 12 Jan 2010, 14:10
Re: IKEv2 zu IPv6 mit Apple
Puh, das mit der Weboberfläche kann ich dir nicht sagen. Ich habe bei DSL Anschlüssen immer ein festes IPv6 Präfix + feste IPv6 Adresse dem Lancom gegeben. Und diese dann im Client eingetragen und funktionierte. Welche das dann in der Weboberfläche ist, ist mir gerade nicht bekannt. Geb halt SSH/HTTPs für IPv6 frei, und teste die 3-4 IP Adressen durch. Wichtig ist nur, dass du den Test z.B. übers Mobilfunknetz machst und du dich nicht hinter dem Lancom Router im LAN befindest.
Re: IKEv2 zu IPv6 mit Apple
Alles schon probiert. Keine Kombi per HTTP/S funktioniert. Ich bin auch "weit weg" vom LANCOM. Der steht etliche Kilometer weiter und ich sitze hier in meinem Büro. Ziemlich frustrierend, zumal das NAS ja einwandfrei klappt.
Re: IKEv2 zu IPv6 mit Apple
Ich habe auch einen Anschluss der DG.
Die IPV6 Adresse des Lancom Routers, bei mir ein 1793 VA, kann ich in der WEB Oberfläche des Routers unter
IPV6 Adressen, LAN - Intranet sehen, fängt bei der DG meines Wissens nach immer mit 2A00 an.
Die DG sagt zwar, dass die IPV6 Adresse des Anschlusses gleich bleibt, ich will ich aber nicht darauf verlassen, daher habe ich einen DynDNS Anbieter, z.B. dynv6.com bemüht und lasse einen DNS Eintrag mit AAAA Record erzeugen.
Die IPV6 Adresse des Lancom Routers, bei mir ein 1793 VA, kann ich in der WEB Oberfläche des Routers unter
IPV6 Adressen, LAN - Intranet sehen, fängt bei der DG meines Wissens nach immer mit 2A00 an.
Die DG sagt zwar, dass die IPV6 Adresse des Anschlusses gleich bleibt, ich will ich aber nicht darauf verlassen, daher habe ich einen DynDNS Anbieter, z.B. dynv6.com bemüht und lasse einen DNS Eintrag mit AAAA Record erzeugen.
Re: IKEv2 zu IPv6 mit Apple
Ok, das hat mir jetzt insofern geholfen, als dass ich mir sicher bin, die richtige IPv6 genommen zu haben. Danke. Nach langer Suchereit musste ich feststellen, dass bei der Verschlüsselung der Haken bei "PFS" gefehlt hat. Hier scheint beim Import der Einstellungen aus dem 1783er etwas schiefgelaufen zu sein. Nun klappt die VPN-Verbindung an sich, ich komme nur noch nicht auf die IPv4 im LAN der Gegenseite. Die Inbound-Regel ist aktiv. Ich vermutete zuerst einen weiteren Import-Fehler, aber ein testweise per Assistent angelegter zweiter VPN-Zugang hat das selbe Problem. Muss denn ein eigener Routing-Eintrag gesetzt werden oder ein expliziter Firewall-Eintrag pro VPN-Zugang? Würde für mich irgendwie keinen Sinn machen.