IPv6 Tunnelbroker mit OpenVPN

[MarkusReisser]

Hallo Admins,

ich möchte gern meinen eigenen IPv6-Tunnelbroker unter Debian6 per OpenVPN installieren.

Ich habe einen Windows 7 Client und meinen Debian6 Server mit IPv6 Access per /48 Netz.

Ich baue per IPv4 einen Tunnel vom Client zum Server auf und natte das private IPv4-Netz des Tunnels in die öffentliche IPv4 des Servers. Somit habe ich also ein Internetgateway erstellt (gesamter Traffic des Client geht über den Server).

OpenVPN Server Config:

server-ipv6 2a02:xxxx:xxxx:beef::/64
tun-ipv6
server 192.168.10.0 255.255.255.0
dev tun
port 443
proto udp
tls-server
script-security 2
ca keys/ca.crt
cert keys/vpnserver.crt
key keys/vpnserver.key
dh keys/dh1024.pem
push "route-ipv6 ::/0"
push "redirect-gateway def1"
push "dhcp-option DNS 85.131.246.10"
push "dhcp-option DNS 85.131.246.11"
ping-timer-rem
keepalive 20 180
persist-key
persist-tun
verb 3
mute 50

OpenVPN Client Config:

client

remote 95.xx.xx.xx 443
proto udp
dev tun
ca "c:\\programme\\openvpn\\config\\ca.crt"
cert "c:\\programme\\openvpn\\config\\vpnclient01.crt"
key "c:\\programme\\openvpn\\config\\vpnclient01.key"
ns-cert-type server
# win7 config
route-method exe
route-delay 2
verb 3
mute 50

Linux Config:

iptables -t nat -A POSTROUTING -o eth0 -s 192.168.10.0/24 -j SNAT --to 95.xx.xx.xx

Windows 7 Config:

netsh int ipv6 add route ::/0 "LAN-Verbindung 2"

Ich kann dann per IPv4 auf dem Client über den Server surfen. Per IPv6 kann ich dann vom Client den Server anpingen. Das wars dann aber. Ein Ping auf die v6 Adresse von google.com funktioniert nicht.

Es fehlt also noch etwas in der v6 Konfiguration. Hat jemand einen Tipp? Ich muss am Server ja nichts weiter routen, da der Client eine globale IPv6 Adresse hat, oder liege ich in meiner Sichtweise falsch?

Vielen Dank für alle Hinweise.

Mfg Markus

 

[vb-server]

echo 1 > /proc/sys/net/ipv6/conf/all/forwarding

 

[MarkusReisser]

Hallo,

vielen Dank für den Hinweis. Natürlich muss das Routing auch bei v6 aktiviert sein (hatte ich vergessen zu aktivieren).

Leider hat sich aber nichts weiter getan. Muss ich doch noch manuell Routingeinträge vergeben?

Im Client muss ich die default v6 Route zum OpenVPN-Interface legen. Am Server muss ich aber meiner Meinung nach keine Routen festlegen, da der Server doch seine eigenen Netze kennt. Das OpenVPN-Interface am Server hat ja auch eine v6 Adresse aus dem Netz der Clients.

 

[vb-server]

Mal versucht, die Route anstatt aufs dev "LAN-Verbindung 2" auf die IP zu legen?

 

[MarkusReisser]

Hallo,

der Windows 7 Client hatte ein Problem. Ich habe einen anderen Windows 7 Client genommen und nun funktioniert der Ping ins v6 Internet.

Was mich nur wundert... Ich leite ja den gesamten Internettraffic durch den Tunnel. Wenn ich z.B. wieistmeineip.de aufrufe, wird die v4 Adresse vom Server angezeigt. Die v6 Adresse vom Server jedoch nicht. Das gleiche Problem habe ich auch bei z.B. wireshark.org. Dort wird auch nur v4 angezeigt und nicht v6.

Habt Ihr dazu auch eine Idee?

Ich bedanke mich schon mal für die Hilfe

Mfg Markus