IPv6 über L2TP/IPSec?

[F626HU]

Hallo,

wie kann ich IPv6 über L2TP/IPSec einrichten? Ich verwende Linux Debian 10. Ich kann mich über L2TP/IPSec PSK authentifizieren und komme über die IPv4 ins Netz, allerdings nicht über die IPv6. Ist es überhaupt möglich über L2TP? Ich würde gern IPSec only verwenden, aber der Client sitzt hinter NAT.

Wenn ich ein ping6 google.com auf dem Client ausführe, erhalte ich "No route to host". Über Wireguard kann ich über IPv6 des VPN-Servers ins Internet, da besteht die Route.

Viele Grüße

 

[Hotze]

Ich kann mich über L2TP/IPSec PSK authentifizieren und komme über die IPv4 ins Netz, allerdings nicht über die IPv6. Ist es überhaupt möglich über L2TP?

Nein, IPv6 wird nicht unterstützt.
Na ja, besser gesagt Jein. Es gibt schon Möglichkeiten, aber da müssen mehrere Faktoren mitspielen.

https://www.portunity.de/access/wiki/L2TP-Tunnel_(IPv4_und/oder_IPv6)_unter_Debian-Linux_einrichten_(Anleitung)

Hilft das weiter?

 

[F626HU]

Besten Dank für Deine Antwort. Ja das habe ich auch gesehen, allerdings ist mir diese Stelle unschlüssig, weil diese Datei bei mir nicht existiert:

vi /etc/ppp/ip-up.d/portunity

 

[Hotze]

Besten Dank für Deine Antwort. Ja das habe ich auch gesehen, allerdings ist mir diese Stelle unschlüssig, weil diese Datei bei mir nicht existiert:

vi /etc/ppp/ip-up.d/portunity

Ja klar, die Dateien musst du auch erstmal selbst anlegen. Wie du die benennst ist quasi egal. Darin befinden sich die Scripte die beim starten benötigt werden.

 

[F626HU]

Gut, werde ich heute testen, vielleicht finde ich gleich schon Zeit und bin dann wieder zurück. Danke dir für die Information. Ich werde ich melden, sobald es Infos gibt.

 

[F626HU]

Ich schaff's nicht. Der Client bekommt keine IPv6:


Ich würde ja gern meine Konfig hier anhängen, aber ich glaube das wird eine intensivere Geschichte. Wäre vielleicht aber auch für andere hilfreich, da ich bisher nichts gescheites in Deutscher Sprache im Netz finden konnte.

 

[F626HU]

Funktioniert leider nicht. Ich buche am besten eine zusätzliche IPv4 bei meinem Hosting und lasse die GEO auf das gewünschte Land aktualisieren, sodass mein Szenario, das ich zusammenbasteln möchte funktioniert. Ziel: Ich nutze ein ausländisches TV-Streaming mit einem GEO Blocking, das möchte ich nun mit einem L2TP/IPSec VPN auf meinem Router umgehen und diesen gezielt für die entsprechenden Clients festlegen. Kann aber Monate dauern, bis die GEO Locations aktualisiert sind. Meine bestehende IPv6 läuft schon über das entsprechende Land, allerdings ist fraglich, ob das TV-Streaming nicht trotzdem die deutsche IPv4 erkennen würde, da ich im Router in den Logs sehe, dass IPv4 Adressen kontaktiert werden.

 

[Hotze]

Funktioniert leider nicht.

Ist kompliziert und da muss der Provider auch mitspielen und VPNs über IPv6 erlauben. Einige machen das nur eingeschränkt oder haben ein Routing drinnen, dass an Ende Grütze rauskommt.

 

[F626HU]

Ich merke es. Ich habe ein Compute Engine von Google mit IP des entsprechenden Landes. Die Maschine läuft auf Debian 12. Irgendwie gibt es mit diesem Script ein Problem:

wget https://get.vpnsetup.net -O vpn.sh && sudo sh vpn.sh

Auf meinem anderen Server, Debian 10 läuft es. Auf dem Google CPE bekomme ich immer die Meldung:

Oct 16 08:48:21 instance-xyz pluto[930]: "l2tp-psk"[1] *PublicIP-des-Clients* #1: responding to Main Mode from unknown peer *PublicIP-des-Clients*:523
Oct 16 08:48:21 instance-xyz pluto[930]: "l2tp-psk"[1] *PublicIP-des-Clients* #1: sent Main Mode R1
Oct 16 08:48:21 instance-xyz pluto[930]: "l2tp-psk"[1] *PublicIP-des-Clients* #1: sent Main Mode R2
Oct 16 08:48:21 instance-xyz pluto[930]: "l2tp-psk"[1] *PublicIP-des-Clients* #1: Peer ID is ID_IPV4_ADDR: 'LocalIP-des-Clients'
Oct 16 08:48:21 instance-xyz pluto[930]: "l2tp-psk"[1] *PublicIP-des-Clients* #1: switched to "l2tp-psk"[2] *PublicIP-des-Clients*
Oct 16 08:48:21 instance-xyz pluto[930]: "l2tp-psk"[1] *PublicIP-des-Clients*: deleting connection instance with peer *PublicIP-des-Clients*
Oct 16 08:48:21 instance-xyz pluto[930]: "l2tp-psk"[2] *PublicIP-des-Clients* #1: ISAKMP SA established {auth=PRESHARED_KEY cipher=AES_CBC_256 integ=HMAC_SHA2_256 group=MODP2048}
Oct 16 08:48:22 instance-xyz pluto[930]: "l2tp-psk"[2] *PublicIP-des-Clients* #1: the peer proposed: PublicIP-GoogleCPE/32/UDP/1701===LocalIP-des-Clients/32/UDP/62636
Oct 16 08:48:22 instance-xyz pluto[930]: |   checking hostpair LocalIP-GoogleCPE/32:1701 -> *PublicIP-des-Clients*/32:0
Oct 16 08:48:22 instance-xyz pluto[930]: "l2tp-psk"[2] *PublicIP-des-Clients* #1: NAT-Traversal: received 2 NAT-OA. Using first; ignoring others
Oct 16 08:48:22 instance-xyz pluto[930]: "l2tp-psk"[2] *PublicIP-des-Clients* #2: responding to Quick Mode proposal {msgid:5ab04423} using ISAKMP SA #1
Oct 16 08:48:22 instance-xyz pluto[930]: "l2tp-psk"[2] *PublicIP-des-Clients* #2:     us: LocalIP-GoogleCPE/32/UDP/1701===LocalIP-GoogleCPE[PublicIP-GoogleCPE]  them: *PublicIP-des-Clients*[LocalIP-des-Clients]===*PublicIP-des-Clients*/32/UDP/62636
Oct 16 08:48:22 instance-xyz pluto[930]: "l2tp-psk"[2] *PublicIP-des-Clients* #2: sent Quick Mode reply, inbound IPsec SA installed, expecting confirmation transport mode {ESPinUDP=>0x011c62f2 <0xdb7b64c6 xfrm=AES_CBC_256-HMAC_SHA2_256_128 NATOA=LocalIP-des-Clients NATD=*PublicIP-des-Clients*:40416 DPD=active}
Oct 16 08:48:22 instance-xyz pluto[930]: "l2tp-psk"[2] *PublicIP-des-Clients* #2: IPsec SA established transport mode {ESPinUDP=>0x011c62f2 <0xdb7b64c6 xfrm=AES_CBC_256-HMAC_SHA2_256_128 NATOA=LocalIP-des-Clients NATD=*PublicIP-des-Clients*:40416 DPD=active}
Oct 16 08:48:22 instance-xyz pluto[930]: "l2tp-psk"[2] *PublicIP-des-Clients* #2: received Delete SA payload via #1
Oct 16 08:48:23 instance-xyz pluto[930]: "l2tp-psk"[2] *PublicIP-des-Clients* #2: deleting IPsec SA (QUICK_R2) aged 0.247726s and NOT sending notification
Oct 16 08:48:23 instance-xyz pluto[930]: "l2tp-psk"[2] *PublicIP-des-Clients* #2: ESP traffic information: in=342B out=311B
Oct 16 08:48:23 instance-xyz pluto[930]: "l2tp-psk"[2] *PublicIP-des-Clients* #1: received Delete SA payload: self-deleting ISAKMP State #1
Oct 16 08:48:23 instance-xyz pluto[930]: "l2tp-psk"[2] *PublicIP-des-Clients* #1: deleting ISAKMP SA (MAIN_R3) aged 1.316241s and NOT sending notification
Oct 16 08:48:23 instance-xyz pluto[930]: "l2tp-psk"[2] *PublicIP-des-Clients*: deleting connection instance with peer *PublicIP-des-Clients*

Kannst du mir ohne größeren Aufwand Deinerseits sagen, woran es liegt?

Grüße

 

[Hotze]

Kannst du mir ohne größeren Aufwand Deinerseits sagen, woran es liegt?

Liegt an Google

Da sind die Details manchmal das Problem. Sieht ein wenig nach Firewall aus…Ich muss bei sowas immer an der Maschine sitzen.
Schon mal den Support gefragt? Die sind eigentlich immer ganz fix.

 

[F626HU]

Liegt an Google

Da sind die Details manchmal das Problem. Sieht ein wenig nach Firewall aus…
Schon mal den Support gefragt? Die sind eigentlich immer ganz fix.

Nein habe ich bisher nicht gefragt. Mit Wireguard funktioniert es.

Die Ports habe ich in der Firewall freigegeben über die Cloud Console.

 

[Hotze]

WireGuard ist flotter als IPSec. Wäre also nicht verkehrt das zu nutzen.
Stimmt denn Port 523?

 

[F626HU]

Port 523? Noch nie gehört! Weil Lancom kein Wireguard kann, zumindest mein Model nicht. Ich habe gerade gelesen, dass GCPE wohl Probleme mit L2TP haben soll und genau das ist auch meine Vermutung. Stattdessen soll man XAUTH verwenden. Da bin ich nun dran.

EDIT: Daran lag es, ich have ein neues PW gehasht, weil ich da irgendwie durcheinander kam, in /etc/ipsec.d/passwd eingefügt und nun funktioniert XAUTH! Auf dem Macbook als Test Cisco IPSec eingerichtet und sofort verbunden! Was das nun kostet keine Ahnung, mir wurde bei exakt diese Konfiguration kein Preis angezeigt. Ist ein N1 g1-small ...

 

[Hotze]

Port 523 steht in der ersten Zeile.
Aber egal, es klappt ja nun. Hast es doch hinbekommen.

 

[F626HU]

Ja, bin nun beim Lancom. Vom Lancom kommt nichts beim Google CPE an, aber ich glaube, da bin ich nun im falschen Forum, ich denke mit Lancom kennen sich wenige aus...

 

[Hotze]

Sag das nicht. Ein paar müssen Lancom nutzen. Aber ich denke in einem speziellen Forum hast du da mehr Glück. Lancom hatte ich schon seit 20 Jahren nicht mehr in der Hand.