auf einer Seite Kable IPv6, Site2Site möglich?
-
Hallo zusammen,
ich habe auf einer Seite ein Glasfaser-Anschluss mit fester IPv4 und daran hängt die PFSense und macht die Einwahl und stellt den Open-VPN-Fernzugriff zur Verfügung. Das funktioniert seit der Ersteinrichtung tadellos. Bei meiner Freundin ist ein Kabel-Anschluss von UnitiyMedia (jetzt Vodafone) welcher ja IPv6 ist ... ob er die IP wechselt kann ich nicht genau sagen. Daran hängt ja diese mitgelieferte weiße Box.
Ich würde nun gerne diesen Kabel-Anschluss mit meinem Netzwerk verbinden, also Site2Site und zwar so dass ich alles in meinem Netzwerk erreiche aber der normale Internetverkehr natürlich nicht durch den VPN geht.
Bevor ich jetzt wild anfange zu installieren wollte ich fragen ob dies mit dem Kabel-Anschluss überhaupt geht? Ich habe da schon viel negatives gehört und wenn ja was die einfachste Umsetzung ist? Die Kabelbox von Vodafone kann ich ja nicht tauschen da man von denen ja keine Einwahl-Daten bekommt. Eine PFSense hinter die VodafoneBox? Klappt dies mit dem IPv6?
Für einen Wink in die richtige Richtung wäre ich dankbar :-)
Viele Grüße
pixel24
-
Hi,
ja das wird ohne Probleme klappen.
Du brauchst bei OpenVPN nur auf einer Seite eine öffentlich erreichbare Adresse, was bei dir ja am Glasfaser Anschluss gegeben ist. Diese Seite MUSS dann zwingend der OpenVPN Server sein, was du ja eh vor hast.
Bei dem Kabelanschluss deiner Freundin gibt es ja trotzdem "nach außen" noch eine IPv4 Adresse aus dem Provider Netz, sonst könnte sie mehr als das halbe Internet nicht erreichen. ;-)
Kurz und knapp: pfSense hinter die Vodafone box klemmen und als OpenVPN S2S Client einrichten. Das komplette Netz deiner Freundin sollte dann aber hinter der pfSense sein, sonst bekommst du Probleme mit async. Routing. Also außer der pfSense nichts an die Vodafone Box anschließen.-Rico
-
ok, vielen Dank. Ich werde es probieren so einzurichten :-)
-
bin noch nicht dazu gekommen und mache mir Gedanken was ich genau brauchen. Der OpenVPN-Server auf der Seite mit dem Glasfaser ist ja vorhanden und wird schon genutzt.
Wenn ich das o.g. Szenario umsetze, also PFSense mit OpenVPN S2S Client auf der Seite mit Vodafone Box, kann ich aber nicht von der Seite des OpenVPN-Servers auf IPv4-Adressen auf Geräte hinter des OpenVPN-S2S-Client zugreifen, oder?
Der Gedanke wäre dass ich bei meiner Freundin (Vodafone Box) eine Rechner platziere und darauf von meiner Seite die Daten darauf sichere.
-
Na klar kannst du von beiden Seiten jeweils auf die andere zugreifen wenn es in den Firewall Regeln erlaubt ist.
Lass dich nicht vom Server/Client wording irritieren, wenn der Tunnel aufgebaut ist spielt es keine Rolle mehr wer Server und Client ist.-Rico
-
Prima Danke, werde mich an einem der nächsten Wochenende daran mache.
-
Ich versuche das gerade auch. ( Deutsche Glasfaser (DG) zum öffentlichen Server über ipsec).
Leider geht der Aufbau nur von dem Netz DG in Richtung Server, in der anderen Richtung leider nicht. Ich sehe auch kein einzigen Logeintrag einer IPV6 in dem Firewall log.
Versuche ich ein ssh vom Server in Richtung DG bekomme ich "Network is unreachable".
Irgendwie wie bei IPV4 und DSLite ?!? Hat jemand eine Idee.
-
Öffne doch bitte einen eigenen Thread, hier geht es um OpenVPN und bei dir um IPsec. Dem TE sein Problem ist ja noch nicht mal gelöst, nicht die feine Art sich dann an ein Thema einfach dranzuhängen.
-Rico
-
Nicht sehr freundlich. Thema ist "IPv6, Site2Site möglich" und genau um das Thema geht meine Frage und darum das keine Packete auf der einen Seite beim Aufbau ankommen.
IPSec UDP oder OpenVPN UDP spielt da erstmal kaum eine Rolle. Siehe mein Verweis auf ssh Port 22 tcp. Wo da "reindrängen" ist sehe ich nicht wirklich.Aber ich mache gerne einen neuen Thread auf.
-
Unfreundlich ist das Letzte was ich hier sein will, sorry falls das so rüber kam.
Wäre wahrscheinlich trotzdem einfacher und vor allem übersichtlicher dein Problem in einem eigenen Thread zu behandeln, aber nichts für ungut.-Rico
-
@vigeland said in auf einer Seite Kable IPv6, Site2Site möglich?:
Nicht sehr freundlich. Thema ist "IPv6, Site2Site möglich" und genau um das Thema geht meine Frage und darum das keine Packete auf der einen Seite beim Aufbau ankommen.
Nein er hat dich korrekt darauf hingewiesen, dass Thread-Hijacking - also das Reingrätschen in andere Themen mit dem eigenen Problem - nicht freundlich und OK ist. Zudem hat er vollkommen recht, egal was im Thema steht, im Thema des OP steht ganz klar, dass er hier mit OVPN arbeitet. Dann kann ich nicht mit einer vollkommen anderen Konstellation, die ganz andere Komponenten benötigt zwischenrein grätschen und verlangen, dass ich jetzt gerne mein Problem gelöst haben möchte. Das ist wirklich nicht die feine Art und jede Netiquette weist da gern drauf hin. Zumal @Rico im Wording absolut korrekt und freundlich war mit Bitte und Danke. Neues Thema ist da der richtige Weg und jeder der kann wird dann auch gern dort helfen.
@pixel24 noch als Zusatz: Wenn die Seite der Freudin DSlite hat mit v6 würde ich tatsächlich eher mal versuchen, den Tunnel selbst schon mit IPv6 zu bauen - sofern dein Glasfaseranschluß v6 bietet. Denn wir haben da u.a. auch bei Kunden und Kollegen bei VPN dann gern das Problem, dass die MTU durch das DSlite so vermurkst wird, dass der Zugriff ziemlich ätzend wird. Wenn man das direkt via OVPN und IPv6 als S2S aufbaut, kann man aber trotzdem intern IPv4 mit IPv4 verbinden - egal wie sich Server und Client gefunden haben. Damit hat man dann keinen MTU Salat und intern trotzdem eine v4 an v4 Site2Site Kopplung :)
