OpenVPN Client mit IPv6 only zu IPv4 Server verbinden?
-
Moin zusammen,
ich habe ein Setup, in welchem ich einen Windows 10 Client mit OpenVPN auf meine Firewall verbinden lassen möchte.
Der Win10 Client hat WAN seitig aber nur eine IPv6 Adresse, die ihm direkt zugeteilt ist. Die IPv4 ist irgendeine NAT Nummer vom regionalen Provider, der Privatkunden hier i.d.R. nur noch IPv6 zuweist und v4 auf diverse Kunden verteilt...so sieht es zumindest aus.Leider bekomme ich vom OpenVPN Client ein TLS Handshake Failed und auf dem Server ein "TLS Error: cannot locate HMAC in incoming packet from ..".
Am Zertifikat selbst sollte es nicht liegen - ich habe auch schon Userdaten ausgetauscht und getestet, die Daten an sich funktionieren.Kann mir jemand bestätigen, dass es vermutlich an der seltsamen IPv6/IPv4 Konfiguration liegen dürfte? Ich kann es erst morgen genauer testen.
Oder sollte es Client-seitig egal sein, ob IPv4 oder IPv6, so lange der Server nicht hinter irgendeinem v4 NAT liegt?
Würde mich über Kommentare freuen :)
Grüße
Helge -
Von Client Seite sollte das egal sein, sonst könnt der im Internet ja überhaupt nichts erreichen was IPv4 ist...kann mich nicht vorstellen dass sich das ein Provider traut. ;-)
Um welchen ISP geht es denn?-Rico
-
Hallo Rico,
danke für deine Antwort.
Es geht um Stiegeler - ein regionaler Anbieter in Südbaden/Südschwarzwald. Sie blocken sicherlich nicht alles, was IPv4 betrifft, aber aus anderen Fällen weiß ich, dass es irgendein NAT hierbei gibt. Denn irgendwas Server-seitiges hinter deren Privatkundenanschlüssen zu betreiben geht mit IPv4 nur, wenn ich um eine Portweiterleitung bitte (was sie schon gemacht haben, aber immer schwierig ist und zu Diskussionen führt).Ich hatte bisher den Eindruck, dass OpenVPN clientseitig hinter einer FW/Router oder sonstwie NAT in der Regel kein Problem ist. Aber ich hatte dabei noch nie den Fall, dass IPv6 clientseitig mit irgendeinem NAT IPv4 kombiniert wurde.
-
Wird bestimmt 'ganz normales' CGN sein wie es einige Provider machen, oder auch im mobile Bereich üblich ist. Würde mich sehr wundern wenn die das Rad neu erfinden.
Was kommt denn hier raus für v4? https://www.wireshark.org/tools/v46status.html
Und mal versuchen diese Seite vom Client aus zu erreichen, geht nur über IPv4: http://ipv4.bieringer.de-Rico
2x Netgate XG-7100 | 11x Netgate SG-5100 | 6x Netgate SG-3100 | 2x Netgate SG-1100
-
geht jeweils beides..
-
@Rico said in OpenVPN Client mit IPv6 only zu IPv4 Server verbinden?:
Was kommt denn hier raus für v4? https://www.wireshark.org/tools/v46status.html
-RicoDie Site zeigt bei mir IPv6 in rot, obwohl gegeben und auf anderen Testseiten auch richtig erkannt wird. Vermutlich weil mein DNS IPv4 only ist...
-
Was mir noch auffällt: Ich habe im Firewall Log BLOCK Einträge auf dem WAN interface mit Hinweis auf Bogon IPv6 Networks from OPT4 (OPT4 ist eigentlich mein Failover WAN, PPPoE Connect funktioniert aktuell aber nicht). Interessanterweise von einem 1194 Port zu meinem WANIP:1194 Port UDP.
Könnte es etwas damit zu tun haben? -
@heka IPv4? Sieht stark danach aus, dass es damit zu tun hat.
-
OK, total seltsam: Ich kann von dem VPN Client aus die IP des OpenVPN Servers nicht anpingen, nachdem ich die entsprechende Firewall Rule gesetzt habe. Von einem anderen Client mit anderem Provider aus funktioniert es wunderbar. Gleiches gilt für einen kurz getesteten HTTP Redirect (NAT + Firewall Regel gesetzt). Scheint also irgendein Routing-Problem seitens des Providers zu sein? Lustigerweise sitzen sowohl Client und Server beim gleichen Provider... oh man.
Werde morgen mal in die Richtung weitersuchen.
Danke schonmal soweit.
