IPv4 S2S-Tunnel durch IPv6 Anbindung, kein Datenfluss

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
andreas
Beiträge: 109
Registriert: 04 Jan 2005, 00:35

IPv4 S2S-Tunnel durch IPv6 Anbindung, kein Datenfluss

Beitrag von andreas »

Hallo zusammen,

nach langem zögern habe ich begonnen IPv6 einzuführen, bzw zu nutzen und ärgere mich, dass ich nicht vorher begonnen habe. Grund damit zu starten war zunächst die CarrierGradeNAT Geschichte, diverser MTU-Hassel, etc.
Die IPv6 Einwahlen mit Lancom Advanced VPN Client oder IOS funktionieren wirklich perfekt. Wenn ich aber ein IPv4 S2S-VPN über IPv6 aufbaue steht der Tunnel zwar, aber es gehen keine Pakete durch.

Ich habe im Prinzip den Tunnel so eingerichtet wie bei v4 und als Endpunkt v6 genommen. So wie auch hier beschrieben:
https://www.lancom-systems.de/docs/LCOS ... _ipv6.html

Tunnel steht, keine Datenfluss.

Jetzt stehe ich vor der Frage, welche Traces sind am besten. Ist es eher ein VPN-Thema oder IPv4 Routing oder IPv6 Routing. Mir sind die Zusammenhänge da noch unklar. Vielleicht kann mir jemand einen Tipp geben!?

VG
Andreas
andreas
Beiträge: 109
Registriert: 04 Jan 2005, 00:35

Re: IPv4 S2S-Tunnel durch IPv6 Anbindung, kein Datenfluss

Beitrag von andreas »

Hallo zusammen,

leider bin ich bei dem Thema noch keinen Schritt weiter.

Ich habe mir ein Testsetting aufgebaut:
Standort 1 (192.168.1.208) pingt Standort 2 (192.168.12.200)

Code: Alles auswählen

## 1 > 2
[IP-Router] 2022/08/06 10:46:36,487
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 192.168.12.200, SrcIP: 192.168.1.208, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0xa214
Route: WAN Tx (GW001.RZ3.IPV6)

## 2 > 1
[IP-Router] 2022/08/06 10:46:37,065
IP-Router Rx (GW001.BRU.IPV6, RtgTag: 0):
DstIP: 192.168.12.200, SrcIP: 192.168.1.208, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo request, id: 0x0001, seq: 0xa214
Route: LAN-1 Tx (INTRANET)

[IP-Router] 2022/08/06 10:46:37,066
IP-Router Rx (LAN-1, INTRANET, RtgTag: 0):
DstIP: 192.168.1.208, SrcIP: 192.168.12.200, Len: 60, DSCP: CS0/BE (0x00), ECT: 0, CE: 0
Prot.: ICMP (1), echo reply, id: 0x0001, seq: 0xa214
Route: WAN Tx (GW001.BRU.IPV6)
Die Pakete gehen also durch den Tunnel, kommen an und werden beantwortet. Die Antwort erreicht die Gegenstelle aber nicht.

Also VPN-Paket-Trace

Code: Alles auswählen

## 1 > 2
[VPN-Packet] 2022/08/06 10:52:16,465 [INTRANET (3)]
ICMP (1) packet, scope global, routing tag 0, thread 150 VPN-Catcher/0:
Internet Protocol Version 4
  Header length: 20
  Total length: 60
  Payload length: 40
  DiffServ field: 0x00 (DSCP: CS0, ECN: Not-ECT)
  Identification: 0x6392
  Flags: 0x0000
  Fragment offset: 0
  Time to live: 127
  Protocol: ICMP (1)
  Header checksum: 0x4846
  Source: 192.168.1.208
  Destination: 192.168.12.200
Internet Control Message Protocol
  Type: Echo (ping) request (8)
  Code: 0
  Checksum: 0xaafe
  Identifier: 1
  Sequence number: 41564
 --> passed to encryption stack


## 2 > 1
[VPN-Packet] 2022/08/06 10:52:17,069 [GW001.BRU.IPV6 (9)]
Decrypted ICMP (1) packet, scope global, routing tag 0, thread 210 SEC-Controller/0:
  IPv4: 192.168.1.208 -> 192.168.12.200, Total-Len: 60
  ICMP: Echo (ping) request (8), ID: 1, Seq: 41564
  Binary Data: 61 62 63 64 65 66 67 68 69 6a 6b 6c 6d 6e 6f 70
--> Forward packet to IPv4 context

[VPN-Packet] 2022/08/06 10:52:17,070 [INTRANET (2)]
ICMP (1) packet, scope global, routing tag 0, thread 133 VPN-Catcher/0:
Internet Protocol Version 4
  Header length: 20
  Total length: 60
  Payload length: 40
  DiffServ field: 0x00 (DSCP: CS0, ECN: Not-ECT)
  Identification: 0x135f
  Flags: 0x0000
  Fragment offset: 0
  Time to live: 127
  Protocol: ICMP (1)
  Header checksum: 0x9879
  Source: 192.168.12.200
  Destination: 192.168.1.208
Internet Control Message Protocol
  Type: Echo (ping) reply (0)
  Code: 0
  Checksum: 0xb2fe
  Identifier: 1
  Sequence number: 41564

 --> passed to encryption stack
Gleiches Bild, Pakete gehen durch.

Stelle ich den Tunnel auf IPv4 um (nur durch Austausch der Tunnelend-IP V6 durch V4) klappt alles.

Jemand ne Idee??

Viele Grüße,
Andreas
Dr.Einstein
Beiträge: 2893
Registriert: 12 Jan 2010, 14:10

Re: IPv4 S2S-Tunnel durch IPv6 Anbindung, kein Datenfluss

Beitrag von Dr.Einstein »

Hey Andreas,

da ich gerade nicht so 100% weiß, auf welcher Seite der Fehler aus welchem Grund liegen könnte, vielleicht folgende Idee:

Erstelle ein Paket Capture der WAN Schnittstelle beider Lancom Router. Sorge aber bitte dafür, dass in der Zeit kein Traffic über den VPN geht, sprich sei du selbst via WAN auf dem Router und nicht via VPN. Sende während deines PCAP Mitschnitts im gleichen Abstand deine Pings los.

Trotz der verschlüsselten ESP Pakete solltest du aufgrund der Größe und Gleichmäßigkeit schnell erkennen, ob der Ping an Seite B wieder losgeschickt wird, und/oder an Seite A wieder ankommt. Wenn die problematische Seite identifiziert ist, kommen wir vielleicht einen Schritt weiter (lügt der VPN Pakettrace, bzw. müsste hier etwas auffallen? Sendet vielleicht Seite A irgendwas mit ICMP-Port blocked..)

Ansonsten eher ratlos. Würde da Lancom einbinden. Welche Firmware nutzt du?

Gruß Dr.Einstein
Antworten