IPv6 über VPN zu FRITZ!Box

[averlon]

Ich habe eine VPN-Verbindung zu einer FRITZ!Box über IPv4 die auch funktioniert.

Die FB hat IPv6 aktiviert und hat folglich eine IPv6-Adresse erhalten.

Jetzt würde ich gerne die VPN-Verbindung sowhol über IPv4 als auch über IPv6 realisieren.

Für IPv4 gibt es foltende Einstellungen:

Code: Alles auswählen

cd /Setup/VPN/VPN-Peers 
#    Peer              SH-Time       Extranet-Address  Remote-Gw                                                        Rtg-tag  Layer             dynamic     IKE-Exchange     Rule-creation  DPD-Inact-Timeout  IKE-CFG  XAUTH   SSL-Encaps.   OCSP-Check   IPv4-Rules                                                       IPv6-Rules                                                       IPv6            
#    ==================-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "VPN_TEST"        {SH-Time}  9999         {Extranet-Address}  0.0.0.0          {Remote-Gw}  "vpn.averlon.com"                                                {Rtg-tag}  0       {Layer}  "VPN_TEST"        {dynamic}  No         {IKE-Exchange}  Aggressive-Mode {Rule-creation}  manually      {DPD-Inact-Timeout}  90                {IKE-CFG}  Off     {XAUTH}  Off    {SSL-Encaps.}  No           {OCSP-Check}  No          {IPv4-Rules}  "VPN_REGL_TEST"                                                   {IPv6-Rules}  ""                                                              {IPv6}  ""

Code: Alles auswählen

cd /Setup/IP-Router/IP-Routing-Table 
#    IP-Address       IP-Netmask       Rtg-tag  Admin-Distance  Peer-or-IP             Distance  Masquerade  Active   Comment                                                         
#    ===========================================================----------------------------------------------------------------------------------------------------------------------
add  192.168.178.0    255.255.255.0    0        0              {Peer-or-IP}  "VPN_TEST"             {Distance}  0        {Masquerade}  No         {Active}  Yes     {Comment}  "VPN-Verbindung TEST"

Entsprechende FW-Regeln sind gesetzt!

Jetzt würde ich das gerne um IPv6 erweitern.
Der Teil scheint mir noch einfach zu sein:

Code: Alles auswählen

cd /Setup/VPN/VPN-Peers 
#    Peer              SH-Time       Extranet-Address  Remote-Gw                                                        Rtg-tag  Layer             dynamic     IKE-Exchange     Rule-creation  DPD-Inact-Timeout  IKE-CFG  XAUTH   SSL-Encaps.   OCSP-Check   IPv4-Rules                                                       IPv6-Rules                                                       IPv6            
#    ==================-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "VPN_TEST"        {SH-Time}  9999         {Extranet-Address}  0.0.0.0          {Remote-Gw}  "vpn.averlon.com"                                                {Rtg-tag}  0       {Layer}  "VPN_TEST"        {dynamic}  No         {IKE-Exchange}  Aggressive-Mode {Rule-creation}  manually      {DPD-Inact-Timeout}  90                {IKE-CFG}  Off     {XAUTH}  Off    {SSL-Encaps.}  No           {OCSP-Check}  No          {IPv4-Rules}  "VPN_REGL_TEST"                                                   {IPv6-Rules}  "IP6_REGL_TEST"                                                              {IPv6}  "IPV6_TELEKOM"

Diese Regel existiert als Inbound und scheint auch zu funktionieren, weil es VPN-Verbindung von Clients gibt die über IPv6 laufen.

Code: Alles auswählen

cd /Setup/IPv6/Firewall/Inbound-Rules 
#    Name                                  Action                                                            Services                                                          Source-Stations                                                   Active  Prio  Src-Tag    Comment                                                         
#    ======================================-----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "ALLOW-IPSEC"                        {Action}  "ACCEPT, ACCEPT-VPN_LOG"                                         {Services}  "IPSEC"                                                          {Source-Stations}  "ANYHOST"                                                        {Active}  Yes    {Prio}  100  {Src-Tag}  0         {Comment}  ""

Mir fehlt allerdings noch die Information zum Routing und auch etwas zur FW (Forwarding). Da würde ich um etwas Unterstützung bitten.

Update:

Ich glaube, die Forwarding-Rule für IPv6 habe ich mittlerweile ermittelt:

Code: Alles auswählen

ls Stations

Name                              Type                    Local-network     Remote-peer/local-host                                            Address/Prefix
==================================-------------------------------------------------------------------------------------------------------------------------------------------------------
VPN_TEST                          Remote-peer                               VPN_TEST                                     

Code: Alles auswählen

/Setup/IPv6/Firewall
> ls Forwarding-Rules/

Name                                  Action                                                            Services                                                          Source-Stations                                                   Destination-Stations                                              LB-Policy                         Flags                                             Prio  Src-Tag    Rtg-tag  Comment
======================================------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
ALLOW_VPN_TEST                        ACCEPT-VPN_LOG                                                    ANY                                                               VPN_TEST                                                            LOCALNET                                                                                            none                                              0     0          0

[Dr.Einstein]

Da du eine IPv6-Rule unter IPSec eingetragen hast, die Fritzbox kann kein v6 Datenverkehr im Tunnel routen:

https://avm.de/service/wissensdatenbank ... -uber-VPN/

Wenn es um den reinen VPN Verbindungsaufbau über v6 geht, musst du eigentlich nichts anpassen, solang du eine Namensauflösung verwendest. Im Default ist die Inboundrule für IPSec auf ALLOW gesetzt, Quelle ANY.

[averlon]

Im Default ist die Forwardingrule für IPSec auf ALLOW gesetzt, Quelle ANY.

Ja, die Default ist drin:

Code: Alles auswählen

cd /Setup/IPv6/Firewall/Forwarding-Rules 
#    Name                                  Action                                                            Services                                                          Source-Stations                                                   Destination-Stations                                              LB-Policy                         Flags                                             Prio  Src-Tag    Rtg-tag  Comment                                                         
#    ======================================------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
add  "ALLOW_VPN"                          {Action}  "ACCEPT-VPN"                                                     {Services}  "ANY"                                                            {Source-Stations}  "ANYHOST"                                                        {Destination-Stations}  "ANYHOST"                                                        {LB-Policy}  ""                               {Flags}  none                                             {Prio}  100  {Src-Tag}  0         {Rtg-tag}  0       {Comment}  "allow all communication on IPSec connections"

Ja, ich habe eine Namensauflösung für "vpn.averlon.com" gibt es einen A- und einen AAAA-Eintrag.

Wenn ich aber in der FB auf diesen DNS-Eintrag verweise gibt es auf dem Lancom eine immer wiederkehrende Fehlermeldung und die Verbindung kommt nicht zustande.

Code: Alles auswählen

SYSTEM_INFO: dropped message from <IPv6-Adresse der FB> port 500 due to notification type INVALID_ID_INFORMATION

[Dr.Einstein]

Hast du

Code: Alles auswählen

{IPv6-Rules}  "IP6_REGL_TEST"

gelöscht?

[averlon]

ja, IPv6-Profil {IPv6} "" auch!

Ich meine - die FB hat IPv6 nicht unbedingt "erfunden". Will heißen, da bin ich mir nicht sicher, ob alles richtig implementiert ist. Ist ja auch ein schwieriges Thema!

Ich habe auch, um immer wieder zu einem stabilen Zustand zurückkehren zu können, einen DNS-Eintrag nur mit IPv4 (A) für den lancom erstellt, der über die Aktionstabelle "befüllt" wird.

Insofern kann ich auf der FB zwischen dem DNS-Eintrag der sowohl A als auch AAAA hat und dem DNS-Eintrag der nur A hat wechseln.

[Dr.Einstein]

Auf der einen Seite nutze ich den FritzBox DynDNS Dienst, die Lancom Seite hat IPv6. Achte dabei auf lokale / entfernte Identität. Die Fritzbox verwendet das aus ihrer Konfiguration. Trägst du in der Fritzbox einen Domainnamen ein, dann ist es Typ FQDN Inhalt Domainname, trägst du eine v6 Adresse ein, so ist die entfernte ID auch vom Typ v6 statt FQDN. v6-Profil nicht entfernen, nur v6-Rules.

Code: Alles auswählen

set /Setup/VPN/Operating yes
set /Setup/VPN/NAT-T-Operating yes

cd /Setup/VPN/VPN-Peers
del *
tab Peer SH-Time Extranet-Address Remote-Gw Rtg-tag Layer dynamic IKE-Exchange Rule-creation DPD-Inact-Timeout IKE-CFG XAUTH SSL-Encaps. OCSP-Check IPv4-Rules IPv6-Rules IPv6
add "FRITZ" 0 0.0.0.0 "domain1234.myfritz.net" 0 "FRITZ" No Aggressive-Mode auto 60 Off Off No No "" "" "INTERNET"
cd /

cd /Setup/VPN/Layer
del *
tab Name PFS-Grp IKE-Grp IKE-Prop-List IPSEC-Prop-List IKE-Key
add "FRITZ" 2 2 "FRITZ" "FRITZ" "FRITZBOX"
cd /

cd /Setup/VPN/Proposals/IKE
del *
tab Name IKE-Crypt-Alg IKE-Crypt-Keylen IKE-Auth-Alg IKE-Auth-Mode Lifetime-Sec Lifetime-KB
add "PSK-AES128-SHA1" AES-CBC 128 SHA1 Preshared-Key 108000 0
cd /

cd /Setup/VPN/Proposals/IPSEC
del *
tab Name ESP-Crypt-Alg ESP-Crypt-Keylen ESP-Auth-Alg Lifetime-Sec Lifetime-KB
add "TN-AES128-SHA1" AES-CBC 128 HMAC-SHA1 28800 2000000
cd /

cd /Setup/VPN/Proposals/IKE-Proposal-Lists
del *
tab IKE-Proposal-Lists IKE-Proposal-1 IKE-Proposal-2 IKE-Proposal-3 IKE-Proposal-4 IKE-Proposal-5 IKE-Proposal-6 IKE-Proposal-7 IKE-Proposal-8
add "FRITZ" "PSK-AES128-SHA1" "" "" "" "" "" "" ""
cd /

cd /Setup/VPN/Proposals/IPSEC-Proposal-Lists
del *
tab IPSEC-Proposal-Lists IPSEC-Proposal-1 IPSEC-Proposal-2 IPSEC-Proposal-3 IPSEC-Proposal-4 IPSEC-Proposal-5 IPSEC-Proposal-6 IPSEC-Proposal-7 IPSEC-Proposal-8
add "FRITZ" "TN-AES128-SHA1" "" "" "" "" "" "" ""
cd /

cd /Setup/VPN/Certificates-and-Keys/IKE-Keys
del *
tab Name Local-ID-Type Local-Identity Remote-ID-Type Remote-Identity Shared-Sec Shared-Sec-File
add "FRITZBOX" IPv6-Address "2a01:123:456:789:1:2:3:4" Domain-Name "domain1234.myfritz.net" "PSKKey123!" ""
cd /


cd /Setup/VPN/Networks/IPv4-Rules
del *
tab Name Local-Networks Remote-Networks
add "RAS-WITH-CONFIG-PAYLOAD" "0.0.0.0/0" "0.0.0.0/32"
add "RAS-WITH-NETWORK-SELECTION" "0.0.0.0/0" "0.0.0.0/0"
cd /

cd /Setup/VPN/Networks/IPv4-Rule-Lists
del *
tab Name Rules
cd /

cd /Setup/VPN/Networks/IPv6-Rules
del *
tab Name Local-Networks Remote-Networks
add "RAS-WITH-CONFIG-PAYLOAD" "::/0" "::/128"
add "RAS-WITH-NETWORK-SELECTION" "::/0" "::/0"
cd /

cd /Setup/VPN/Networks/IPv6-Rule-Lists
del *
tab Name Rules
cd /

+ Routing-Tabelleneintrag. Verschlüsselung sind nur Beispiele. Du kannst auch auf AES 256 / SHA-512 hochgehen, wobei es bei DH-2/2 bleibt.

[averlon]

Ich benutze auf beiden Seiten FQDN.
Das hat bei IPv4 ja auch bisher einwandfrei funktioniert.

Die Strings bei FQDN sind allerdings keine echten DNS-Einträge, sehen nur so aus.

Soweit ich das verstanden hatte muss der String bei der Prüfung nur übereinstimmen und nicht auflösbar sein. Oder ist das falsch?

[Dr.Einstein]

Kommt auf den Hersteller an. Lancom prüft IDs, Windows z.B. muss FQDN = Verbindungsziel sprich Domainname sein. Bei Fritzbox wird es auch so sein wie unter Windows.

Benutzt du auf beiden Seiten (dyn)DNS?

[averlon]

Benutzt du auf beiden Seiten (dyn)DNS?

ja. Ich habe keine festen IP-Adressen. Ich bin damit auch jahrelang gut zurecht gekommen.

Es könnte natürlich sein, dass bei IPv4 die FB nur den String prüft, aus historischen Gründen, und bei IPv6 wirklich die DNS-Auflösung. Dann werde ich das mal ändern. Ich habe glücklicherweise noch einen Wireguard-Zugang. Denn wenn ich die Parameter auf der FB ändern will geht das ja dann nicht über VPN.

[Dr.Einstein]

Vielleicht noch der Hinweis: Ich habe keine Config Datei mit dem 'Fernzugang einrichten' - Tool erzeugt, sondern einfach via Fritzbox Assistent zwei Fritz!Boxen verbinden genutzt.

[averlon]

ja, ich auch nicht.

a) das Tool "FRITZ!Fernzugang einrichten" gibt es wohl nicht mehr, soweit ich das weiß. Ist zumindest wohl nur für ältere Versionen des FRITZ!OS nutzbar.
b) es gibt jetzt "FRITZ!vpn". Sieht optisch gleich aus, ist aber wohl für die neueren FRITZ!OS-Versionen.

Ich habe es aber auch über den Assistenten gemacht. Dann einen Export der Konfiguration und den Teil von "vpncfg" in eine gesonderte Datei kopiert.
Die kann man dann anpassen (z.B. den FQDN) und dann bei dem Punkt IPSEC als Konfigurationsdatei "importieren".

Hat bei mir zumindest geklappt.

[averlon]

Die Verbindung ist jetzt deutlich stabiler. Trotzdem kommt es manchmal zu einem Verlust der Verbindung. Dann erscheint im Log:

Code: Alles auswählen

Dec  5 12:19:03 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group has disconnected, ignored
Dec  5 12:19:04 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group offered gateway <IPv4-Adresse>, ignored
Dec  5 12:19:05 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group has disconnected, ignored
Dec  5 12:19:06 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group offered gateway <IPv4-Adresse>, ignored
Dec  5 12:19:07 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group has disconnected, ignored
Dec  5 12:19:08 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group offered gateway <IPv4-Adresse>, ignored
Dec  5 12:19:09 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group has disconnected, ignored
Dec  5 12:19:10 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group offered gateway <IPv4-Adresse>, ignored
Dec  5 12:19:11 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group has disconnected, ignored
Dec  5 12:19:12 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group offered gateway <IPv4-Adresse>, ignored
Dec  5 12:19:13 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group has disconnected, ignored
Dec  5 12:19:14 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group offered gateway <IPv4-Adresse>, ignored
Dec  5 12:19:15 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group has disconnected, ignored
Dec  5 12:19:16 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group offered gateway <IPv4-Adresse>, ignored
Dec  5 12:19:17 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group has disconnected, ignored
Dec  5 12:19:18 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group offered gateway <IPv4-Adresse>, ignored
Dec  5 12:19:19 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group has disconnected, ignored
Dec  5 12:19:20 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group offered gateway <IPv4-Adresse>, ignored
Dec  5 12:19:21 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group has disconnected, ignored
Dec  5 12:19:22 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group offered gateway <IPv4-Adresse>, ignored
Dec  5 12:19:23 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group has disconnected, ignored
Dec  5 12:19:24 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group offered gateway <IPv4-Adresse>, ignored
Dec  5 12:19:25 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group has disconnected, ignored
Dec  5 12:19:26 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group offered gateway <IPv4-Adresse>, ignored
Dec  5 12:19:27 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group has disconnected, ignored
Dec  5 12:19:28 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group offered gateway <IPv4-Adresse>, ignored
Dec  5 12:19:29 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group has disconnected, ignored
Dec  5 12:19:30 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group offered gateway <IPv4-Adresse>, ignored
Dec  5 12:19:32 f42240ro SYSTEM_INFO: dropped message from <IPv6-Adresse> port 500 due to notification type INVALID_ID_INFORMATION
Dec  5 12:19:32 f42240ro CONN-LOGIN_INFO: Successfully connected to peer VPN_TEST
Dec  5 12:19:32 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group connected to <IPv4-Adresse>, ignored



Dec  5 12:19:58 f42240ro CONNECTION_ERROR: Line polling to peer VPN_TEST failed
Dec  5 12:19:58 f42240ro CONNECTION_ERROR: VPN: Error for peer VPN_TEST [<IPv4-Adresse>]: ICMP-conn.-Error
Dec  5 12:19:58 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group has disconnected, ignored
Dec  5 12:19:58 f42240ro CONN-LOGIN_INFO: Disconnected from peer VPN_TEST: ICMP-conn.-Error
Dec  5 12:19:59 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group offered gateway <IPv4-Adresse>, ignored
Dec  5 12:20:00 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group has disconnected, ignored
Dec  5 12:20:01 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group offered gateway <IPv4-Adresse>, ignored
Dec  5 12:20:02 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group has disconnected, ignored
Dec  5 12:20:03 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group offered gateway <IPv4-Adresse>, ignored
Dec  5 12:20:12 f42240ro CONN-LOGIN_INFO: Successfully connected to peer VPN_TEST
Dec  5 12:20:12 f42240ro CONNECTION_INFO: VPN: VPN_TEST without group connected to <IPv4-Adresse>, ignored

Es sieht nicht so aus, als ob die Verbindung irgendwann mal über IPv6 aufgebaut würde. Es scheint so, als ob trotzdem immer die IPv4 genutzt wird.
Ich müsste jetzt für einen Test den DNS-Eintrag für den lancom mal nur auf IPv6 (AAAA) laufen lassen, damit der Verbindungsaufbau über IPv6 provoziert wird. Ich weiß noch nicht, ob ich das mal mache!

[Dr.Einstein]

Also bei mir ging alles, LCOS 10.80RU9, Domainname auf der Fritzbox die v4 + v6 anbietet. Im LanMonitor (oder VPN Statustrace) siehst du v6-Adresse als Gegenstelle für den VPN. Ich habe auch nichts an der cfg Datei verändert. Einfach den Fritzbox Wizard für zwei Fritzboxen Site-to-Site durchgeklickt und entsprechend manuell im Lancom eingetragen, fertig. Aufbauen tut bei mir der Lancom aktiv.

[averlon]

Domainname auf der Fritzbox die v4 + v6 anbietet.

Wie meinst du das? Das ist ja nur 1 Domainname den es sowohl als A als auch als AAAA gibt. Oder hast du da zwei unterschiedliche Domainnamen angegeben?

[Dr.Einstein]

Domainname, der AAAA+A beinhaltet auf Seiten der Fritzbox.