IPv4 VPN geht nicht mehr wenn eine Seite auch IPv6 bei Dyndns anbietet

Forum zum Thema allgemeinen Fragen zu VPN

Moderator: Lancom-Systems Moderatoren

Antworten
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

IPv4 VPN geht nicht mehr wenn eine Seite auch IPv6 bei Dyndns anbietet

Beitrag von cpuprofi »

Hallo an Alle,

ich habe folgendes Problem:

Seit dem ich bei DynDNS IPv4 und IPv6 für meine DynDNS Domain implementiert habe, ist der IPv4 Verbindungsaufbau von der VPN-Strecke nicht mehr möglich, sobald beide Standorte einen DSL-Anschluß mit "IPV4 / IPV6 Dual Stack" haben. Hat die Gegenseite nur IPV4 funktioniert der Aufbau.

Auf meiner Seite hat die DynDNS Domain Einträge für IPv4 und IPv6, auf der Gegenseite hat die DynDNS Domain nur den Eintrag für IPv4!

Bevor ich bei mir die DynDNS Domain auf IPv4 und IPv6 umstellte, funktionierte der VPN Aufbau. Im LANmonitor sehe ich, dass sich die Gegenstelle mit mir per IPv6 verbinden möchte, was aber nicht funktioniert, da dafür im Lancom nichts eingerichtet wurde und auch weil die VPN über IPv4 laufen soll.

Wie kann ich den Lancom dazu bringen, dass es wieder mit IPv4 funktioniert?

Grüße
Cpuprofi
Maurice
Beiträge: 131
Registriert: 18 Sep 2017, 12:38

Re: IPv4 VPN geht nicht mehr wenn eine Seite auch IPv6 bei Dyndns anbietet

Beitrag von Maurice »

Moin,
cpuprofi hat geschrieben: 15 Apr 2019, 18:00 Im LANmonitor sehe ich, dass sich die Gegenstelle mit mir per IPv6 verbinden möchte, was aber nicht funktioniert, da dafür im Lancom nichts eingerichtet wurde und auch weil die VPN über IPv4 laufen soll.
Du hast A- und AAAA-Records im DNS stehen, ein bestimmter Dienst ist über IPv6 aber gar nicht erreichbar. Das ist ein grundsätzlicher Konfigurationsfehler. Du kannst nicht davon ausgehen, dass Clients beim Fehlschlagen einer IPv6-Verbindung automatisch auf IPv4 zurückfallen (auch wenn viele das tun).

Falls der Router gar nicht über IPv6 erreichbar sein soll: AAAA-Record wieder löschen.

Falls andere Dienste auf dem Router über IPv6 erreichbar sein sollen, VPN jedoch nur über IPv4:
Unterschiedliche (Sub-)Domains verwenden, z. B. router.example.com (A+AAAA) und vpn.example.com (nur A).

Grüße

Maurice
MariusP
Beiträge: 1036
Registriert: 10 Okt 2011, 14:29

Re: IPv4 VPN geht nicht mehr wenn eine Seite auch IPv6 bei Dyndns anbietet

Beitrag von MariusP »

Hi,
Maurice hat das schon ganz gut zusammengefasst.
Leider kann man beim DNS nicht bestimmen, mit welchem der beiden IP-Versionen geantwortet soll, je nach Anfrage.
Auch weil die DNS Anfrage keine Angabe mitgibt für welchen Dienst es anfragt.
Gruß
Erst wenn der letzte Baum gerodet, der letzte Fluss vergiftet, der letzte Fisch gefangen ist, werdet Ihr merken, dass man Geld nicht essen kann.

Ein Optimist, mit entäuschten Idealen, hat ein besseres Leben als ein Pessimist der sich bestätigt fühlt.
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: IPv4 VPN geht nicht mehr wenn eine Seite auch IPv6 bei Dyndns anbietet

Beitrag von cpuprofi »

Hallo MariusP,
MariusP hat geschrieben: 17 Apr 2019, 12:32...Leider kann man beim DNS nicht bestimmen, mit welchem der beiden IP-Versionen geantwortet soll, je nach Anfrage...

Code: Alles auswählen

IPV4 / IPV6 Dual Stack (Parallelbetrieb) 
Genau wie bei einem Multi-WAN Router für jedes Interface, muss hier für jedes Protokoll ein IP-Update gemacht werden.
 Dazu muss die Variable &dual=1 an die URL angehängt werden.
http(s)://dynup.de/dyn.php?username=benutzername&password=passwort&hostname=domain&dual=1(&print=1) 
 http(s)://ipv6.dynup.de/dyn.php?username=benutzername&password=passwort&hostname=domain&dual=1(&print=1) 
Es werden somit zu "dyndnsfree.de" beide IP-Versionen in der Antwort übermittelt. Und auch über beide IP-Versionen ist ein Zugriff auf den Router möglich.

Die Problematik ist nur, dass in beiden Lancom's die VPN nur für IPv4 eingerichtet sind, der Lancom der Gegenstelle aber auf die IPv6 des Haupt-Lancoms anfragt. Dieses sollte meiner Meinung nach nicht geschehen, da in der FW 10.30 ja die VPN's bei IPv4 und IPv6 getrennt einzurichten sind. Somit sehe ich dieses (Fehl-)Verhalten als Bug an.

Grüße
Cpuprofi
Maurice
Beiträge: 131
Registriert: 18 Sep 2017, 12:38

Re: IPv4 VPN geht nicht mehr wenn eine Seite auch IPv6 bei Dyndns anbietet

Beitrag von Maurice »

Moin,
cpuprofi hat geschrieben: 17 Apr 2019, 15:45 Die Problematik ist nur, dass in beiden Lancom's die VPN nur für IPv4 eingerichtet sind, der Lancom der Gegenstelle aber auf die IPv6 des Haupt-Lancoms anfragt. Dieses sollte meiner Meinung nach nicht geschehen, da in der FW 10.30 ja die VPN's bei IPv4 und IPv6 getrennt einzurichten sind.
Wie hast Du denn konfiguriert, dass die VPN-Verbindung über IPv4 aufgebaut werden soll? Ich wüsste nicht, dass sich das in LCOS vorgeben lässt (außer, indem als entferntes Gateway explizit eine IPv4-Adresse angegeben wird). Bei Verwendung eines FQDN wird immer IPv6 verwendet (sofern ein AAAA-Record existiert).

Die Lösung ist wie gesagt einfach: Mehrere DynDNS-Hostnames verwenden.

Grüße

Maurice
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: IPv4 VPN geht nicht mehr wenn eine Seite auch IPv6 bei Dyndns anbietet

Beitrag von GrandDixence »

Wenn die Aktionstabelle so konfiguriert wird, dass:

- für "Dynamisches DNS" (hier: DynDNS) nur die IPv4-Adresse abgefragt wird (mit dnscheck statt dnscheck6)
- UND nur die IPv4-Adresse für "Dynamisches DNS" eingetragen wird (Platzhalter: %a statt %z)

sollte der IPv4-only VPN-Tunnel doch problemlos auch mit Dual Stack-Internetanschlüssen funktionieren?

Hier die Einträge für "Dynamisches DNS" mit SPDNS.de und IPv4:

Code: Alles auswählen

Aktiv  Hostname               Gegenstelle  Sperrzeit  Bedingung   Aktion                                                                       Pruefen-Auf              Besitzer   Routing-Tag
------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ja     GRANDDIXENCE.SPDNS.DE  CABLECOM     0          Aufbau      dnscheck:GRANDDIXENCE.SPDNS.DE                                               isequal=%a?skipiftrue=1     root    0         
ja     GRANDDIXENCE.SPDNS.DE  CABLECOM     0          Aufbau      https://%h:<Update-Token>@update.spdyn.de/nic/update?hostname=%h&myip=%a                                 root    0         
ja     GRANDDIXENCE.SPDNS.DE  CABLECOM     0          Aufbau      repeat:300                                                                                               root    0 
Natürlich muss vorgängig im Webinterface des "Dynamischen DNS" (hier: DynDNS) der Eintrag der IPv6-Adresse (AAAA Resource Record) gelöscht werden (=> siehe erste Antwort von Maurice).

https://de.wikipedia.org/wiki/AAAA_Resource_Record

https://www.lancom-systems.de/docs/LCOS ... 96287.html

fragen-zum-thema-ipv6-f46/dnscheck-ipv6-t17350.html

lancom-systems-router-aeltere-modelle-z ... 15969.html
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: IPv4 VPN geht nicht mehr wenn eine Seite auch IPv6 bei Dyndns anbietet

Beitrag von cpuprofi »

Hallo Maurice ,
Maurice hat geschrieben: 17 Apr 2019, 19:30...Wie hast Du denn konfiguriert, dass die VPN-Verbindung über IPv4 aufgebaut werden soll? Ich wüsste nicht, dass sich das in LCOS vorgeben lässt (außer, indem als entferntes Gateway explizit eine IPv4-Adresse angegeben wird). Bei Verwendung eines FQDN wird immer IPv6 verwendet (sofern ein AAAA-Record existiert)...
wenn in der Verbindungs-Liste die VPN-Regelerzeugung auf "Manuell" steht und nur unter IPv4-Regeln was eingetragen ist, sollte man doch davon ausgehen können, das auch nur VPN über IPv4 verwendet wird. Zumindest bin ich davon ausgegangen. Ansonsten könnte Lancom da ja auch einen neuen Parameter "none" oder "deactivated" einführen, so dass dann dort die IP-Version für jede VPN darüber "einstellbar" ist.

Denn es gibt ja genügend andere Router, die nur eine DynDNS Anmeldung machen (können) und nicht wie ein Lancom mehrere...

Grüße
Cpuprofi
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: IPv4 VPN geht nicht mehr wenn eine Seite auch IPv6 bei Dyndns anbietet

Beitrag von cpuprofi »

Hallo GrandDixence,
GrandDixence hat geschrieben: 17 Apr 2019, 19:50 Wenn die Aktionstabelle so konfiguriert wird, dass:

- für "Dynamisches DNS" (hier: DynDNS) nur die IPv4-Adresse abgefragt wird (mit dnscheck statt dnscheck6)
- UND nur die IPv4-Adresse für "Dynamisches DNS" eingetragen wird (Platzhalter: %a statt %z)

sollte der IPv4-only VPN-Tunnel doch problemlos auch mit Dual Stack-Internetanschlüssen funktionieren?

Natürlich muss vorgängig im Webinterface des "Dynamischen DNS" (hier: DynDNS) der Eintrag der IPv6-Adresse (AAAA Resource Record) gelöscht werden (=> siehe erste Antwort von Maurice).
dass das, was Maurice und Du da vorschlagen sollte so ja auch funktionieren, nur auch da haben wir das Problem, das andere Router nur eine DynDNS Anmeldung machen können...

Grüße
Cpuprofi
Benutzeravatar
Jirka
Beiträge: 5225
Registriert: 03 Jan 2005, 13:39
Wohnort: Ex-OPAL-Gebiet
Kontaktdaten:

Re: IPv4 VPN geht nicht mehr wenn eine Seite auch IPv6 bei Dyndns anbietet

Beitrag von Jirka »

Hallo Cpuprofi,
cpuprofi hat geschrieben: 17 Apr 2019, 20:31wenn in der Verbindungs-Liste die VPN-Regelerzeugung auf "Manuell" steht und nur unter IPv4-Regeln was eingetragen ist, sollte man doch davon ausgehen können, dass auch nur VPN über IPv4 verwendet wird.
Das betrifft aber die Netzbeziehungen innerhalb der VPN und hat dann erst mal nichts mit dem (remote) Gateway zu tun.

Wieso hast Du überhaupt Dein DynDNS umgestellt? Verstehe ich irgendwo nicht.

Ich hatte das Problem mal vor gut 2 Jahren, plötzlich und über Nacht, weil Kabel Deutschland an Business-IPv4-Anschlüssen IPv6 eingeführt hat (zusätzlich und ohne Ankündigung, jedenfalls ist bei mir nichts angekommen) und dadurch die CABLE-FRITZ!Box vorm LANCOM plötzlich auch die IPv6-Adresse an die DynDNS-Adresse aktualisiert hat und schwupps war die VPN weg. Aber in der FRITZ!Box konnte ich dann einstellen, nur die IPv4-Adresse updaten. Das war also kein Problem. Man kann auch bei vielen (DynDNS-)Providern einstellen, wie verfahren werden soll. Im Extremfall (schlechter Router, schlechter Provider) kann ich Dein Problem aber nachvollziehen und wüsste dann auf Anhieb auch keine Lösung (oder man stellt irgendwie die Aufbau-Richtung um, oder konfiguriert anders weiter).

Viele Grüße aus dem Mittelmeer,
Jirka
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: IPv4 VPN geht nicht mehr wenn eine Seite auch IPv6 bei Dyndns anbietet

Beitrag von cpuprofi »

Hallo Jirka,

ich hoffe Du kannst im Mittelmeer etwas entspannen und Dich erholen :wink:
Jirka hat geschrieben: 17 Apr 2019, 23:56...Im Extremfall (schlechter Router, schlechter Provider) kann ich Dein Problem aber nachvollziehen und wüsste dann auf Anhieb auch keine Lösung (oder man stellt irgendwie die Aufbau-Richtung um, oder konfiguriert anders weiter)...
Es wäre schön, wenn man im Lancom einstellen könnte welches IP Protokoll genutzt werden soll (oder beide, mit Fallback von IPv6 zu IPv4), denn es gibt genügend Fälle, wo es sonst zu Problemen kommen kann... Vielleicht erbarmt sich ja mal ein Entwickler dazu... :M

Grüße
Cpuprofi
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: IPv4 VPN geht nicht mehr wenn eine Seite auch IPv6 bei Dyndns anbietet

Beitrag von GrandDixence »

Zum DNS:
Wenn das Heise Netzwerk-Tool für eine DNS-Anfrage "Hostname to Address Lockup IPv6 (AAAA Record)" eine IPv6-Adresse als Antwort ausspuckt, aber mindestens ein Serverdienst (zum Beispiel: VPN-Server) nicht unter dieser IPv6-Adresse erreichbar ist, wurde "Dynamisches DNS" mangelhaft konfiguriert.
https://www.heise.de/netze/tools/dns/

Zum VPN:
VPN-Konfiguration sollte gemäss der entsprechenden Anleitung unter:
fragen-zum-thema-vpn-f14/vpn-via-androi ... tml#p97795
erfolgen. Ob das VPN-Modul im LCOS IPv6 nutzen soll oder nicht, kann über:

Setup > VPN > IKEv2 > Gegenstellen > IPv6

konfiguriert werden:
https://www.lancom-systems.de/docs/LCOS ... _1_21.html
cpuprofi
Beiträge: 1330
Registriert: 12 Jun 2009, 12:44
Wohnort: Bremen

Re: IPv4 VPN geht nicht mehr wenn eine Seite auch IPv6 bei Dyndns anbietet

Beitrag von cpuprofi »

Hallo GrandDixence,
GrandDixence hat geschrieben: 18 Apr 2019, 20:40...Ob das VPN-Modul im LCOS IPv6 nutzen soll oder nicht, kann über:

Setup > VPN > IKEv2 > Gegenstellen > IPv6:

Code: Alles auswählen

Dieser Eintrag gibt den Namen der IPv6-WAN-Schnittstelle an. Ein leerer Eintrag schaltet IPv6 für dieses Interface ab.

SNMP-ID: 2.19.36.1.21 

Pfad Telnet:Setup > VPN > IKEv2 > Gegenstellen

Mögliche Werte: max. 16 Zeichen aus [A-Z][0-9]@{|}~!$%&'()+-,/:;<=>?[\]^_.

Default-Wert: DEFAULT
konfiguriert werden:
und genau da liegt ja das Problem, ich habe unter "Setup > VPN > IKEv2 > Gegenstellen > IPv6" eben "nichts" konfiguriert und trotzdem nutzt (oder versucht es zumindest) der Lancom IPv6... :G)

Ich sehe das ja als Fehler... Aber Lancom hat sich da ja bisher nicht genau zu geäußert...

Jirka mein ja folgendes dazu:
Jirka hat geschrieben: 17 Apr 2019, 23:56 Das betrifft aber die Netzbeziehungen innerhalb der VPN und hat dann erst mal nichts mit dem (remote) Gateway zu tun.
Es wäre mal schön, wenn sich Lancom mal genauer dazu äußern könnte.

Grüße
Cpuprofi
GrandDixence
Beiträge: 1054
Registriert: 19 Aug 2014, 22:41

Re: IPv4 VPN geht nicht mehr wenn eine Seite auch IPv6 bei Dyndns anbietet

Beitrag von GrandDixence »

Es steht im Hilfetext nicht klar und deutlich, aber wahrscheinlich ist der Konfigurationsparameter:

Setup > VPN > IKEv2 > Gegenstellen > IPv6

https://www.lancom-systems.de/docs/LCOS ... _1_21.html

nur für den VPN-Server (Responder) relevant. Der als Responder agierende VPN-Endpunkt (VPN-Server) wird wahrscheinlich keine über IPv6 erhaltene "IKE_SA-INIT Request"-Telegramme mit dem "IKE_SA-INIT Response"-Telegramm beantworten, wenn dieser Konfigurationsparameter <leer> ist.

Der VPN-Client (Initiator) kann und darf IPv6 für den VPN-Tunnelaufbau verwenden, wenn er für die DNS-Anfrage ein gültiger AAAA-Record (DNS-Antwort mit IPv6-Adresse) als DNS-Antwort erhält. Ansonsten wird die IPv4-Adresse aus dem A-Record der DNS-Antwort verwendet. => Siehe Antwort von MariusP.

Versendet der Initiator das erste IKE_SA_INIT-Telegramm (IKE_SA_INIT Request) als IPv6-Paket, so hat sich der Initiator für den VPN-Tunnelaufbau über IPv6 entschieden.

Der Initiator ist der VPN-Endpunkt, welcher für den Aufbau des VPN-Tunnel das erste IKE_SA_INIT-Telegramm versendet (IKE_SA_INIT Request). Der Responder antwortet auf das erste IKE_SA_INIT-Telegramm mit dem zweiten IKE_SA_INIT-Telegramm (IKE_SA_INIT_Response). Schön dargestellt unter:
https://www.ibm.com/support/knowledgece ... initex.htm

und schön ersichtlich aus den mit "Paket Capturing" aufgezeichneten Netzwerkdatenverkehr, welcher mit Wireshark ausgewertet werden kann. Die IKE_SA_INIT-Telegramme werden unverschlüsselt übermittelt und können somit einfach mit Wireshark eingesehen werden.

viewtopic.php?f=41&t=17414&p=98835#p98835

Noch einmal (=> siehe Antwort von Jirka):

Setup > VPN > Netzwerkregeln > IPv4-Regeln

https://www.lancom-systems.de/docs/LCOS ... _35_1.html

ist ein Konfigurationsparameter, welcher Einfluss auf die innerhalb des VPN-Tunnel (hoffentlich verschlüsselt) übertragenen IP-Pakete hat. Dieser Konfigurationsparameter hat keinen Einfluss, auf die für den Aufbau und Steuerung des VPN-Tunnels übertragenen IP-Pakete mit den IKE-Telegrammen (IKE => Steuerkanal des VPN-Tunnels => VPN-Tunnelaufbau mit den 2 IKE_SA_INIT-Telegrammen und den 2 IKE_AUTH-Telegramme).

Für mehr Informationen zu diesem Konfigurationsparameter siehe:

fragen-zum-thema-vpn-f14/frage-zu-vorde ... 17087.html

viewtopic.php?f=14&t=17091&p=96922#p96922

viewtopic.php?f=14&t=17155&p=97262&hili ... eln#p97262
Antworten