Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 5 subscribers
  • Views 1684 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPsec (Connect Client) mit IPv6 nutzen

Anonymous User

Hallo Forum,

vielleicht kann mir hier jemand helfen J
Ich habe zwei Sophos XGS 3300 im HA-Cluster am laufen.
Einige Kollegen sind im Homeoffice und haben (leider) ein Vodafone DS-Light Anschluss.
Diese Kollegen haben oft Probleme sich per VPN vernünftig zu verbinden.

Daher direkt zu meiner Frage:
Was muss ich einstellen, damit ich für die VPN per IPv6 von außen erreichbar bin, in der VPN selbst aber alles per IPv4 läuft?
Mein Netzwerk ist aktuell nur auf IPv4 konfiguriert. IPv6 gibt’s noch nicht.
Die Firewall hat aber eine öffentliche IPv6 konfiguriert und ist über diese auch schon von außen erreichbar.
Es fehlt nur die Konfiguration für die interne Kommunikation.

Ich habe aber leider absolut keine Ahnung wie ich das bewerkstelligen soll.
Hilft hier ein IP-Tunnel weiter? Wenn ja, was muss ich angeben?

Der Weg sollte so sein:
Firmennetz (Intern) <-> Firewall <-> Internet <-> Router Zuhause <-> Client
IPv4                            <-> IPv4/6   <-> IPv6       <-> IPv4/6                    <-> IPv4



This thread was automatically locked due to age.
  • 0

    Hallo,

    zum Thema IPv6 kann ich leider nicht viel sagen und solange es nicht durchgängig IPv6 ist, würde ich nicht viel Mühe investieren.

    Ansonsten ist der SSL-VPN over IPv6 ja bereits ein Tunnel. Bevor man etwas durchschiebt ... kommt er als IPv6 Tunnel überhaupt hoch? Sprechen die externen Nutzer eine IPv6 Adresse/ IPv6-FQHN an?

    Bei Problemen mit DS-lite ... verwendet ihr UDP für die Verbindung?

    Falls ja, versucht es mal mit TCP ... und nicht (unbedingt 443, da heute jeder versucht das aufzubrechen und dadurch das SSL-VPN oft nicht/schlecht läuft)

    Ich verwende aktuell meist TCP 1194.


    Dirk

    Systema Gesellschaft für angewandte Datentechnik mbH  // Sophos Platinum Partner
    Sophos Solution Partner since 2003
    If a post solves your question, click the 'Verify Answer' link at this post.

  • 0

    Du kannst bei der openVPN Community mal schauen, dort gibt es zig Artikel zu IPv6 (Vodafone) und die Problematiken dazu. Das ist kein "Sophos Problem", in dem Sinne, da es von dem unterliegendem Modul ausgelöst wird. 

    Häufig wechseln diese User durch Sophos Connect (Ipsec vs SSL VPN) und manchmal klappt dann eins von beiden.

    Was ich da nur empfehlen kann: Sophos ZTNA wird demnächst starten. Das EAP Program hat bereits geöffnet und man könnte es kostenfrei ausprobieren. Im Grunde wird ZTNA den VPN Zugang, wie wir ihn kennen, wahrscheinlich in den nächsten Jahren verdrängen. Dort existiert dieses "IPv6 tunnel Problem" einfach nicht mehr, da du keine Tunnel und Netzwork Layer mehr hast. 
    Wenn du einen ESXi Server und IDP (Azure AD) hast, kannst du es mal ausprobieren: https://community.sophos.com/zero-trust-network-access/b/announcements/posts/sophos-ztna-early-access-now-available

    __________________________________________________________________________________________________________________

  • 0 in reply to dirkkotte

    Verbindungsprobleme durch geblockte Ports gibts nicht.
    Die Clients meisten sind alle an normalen Heim-Anschlüssen und nicht in Firmennetzwerken.
    Ist ein User in einem anderen Firmennetz mit Proxy & Co. unterwegs, ist es natürlich was anderes.

    UDP ist aktiv, TCP haben wir bereits getestet. Hilft absolut nichts.
    Das Problem ist, das Sophos XGS kein NAT64 kann und die ankommenden Anfragen über IPv6 nicht auf IPv4 übersetzt werden.
    Das Problem versuche ich gerade irgendwie zu Lösen oder zu umgehen.

  • 0 in reply to LuCar Toni

    Ein direktes Sophos-Problem ist es nicht. Wenn es ein Problem mit Sophos gibt, dann nur das fehlende NAT64. Das würde das Problem glaube ich direkt lösen.
    In der openVPN-Community findet man hierzu nichts hilfreiches. Die Foren haben wir schon alle durchforstet.
    Was aktuell in den meisten Fällen - aber nicht immer - hilft, ist das deaktivieren von IPv6 am Client selbst, damit dieser gezwungen ist IPv4 zu nutzen.
    Das führt aber vor allem im Vodafone-Netz zu Performance-Problemen oder Verbindungsabbrüche. Im Telekom- oder O2-Netz ist soweit alles gut.
    Selbst bei lokalen ISPs gibts so gut wie keine Klagen.
    IPsec und SSL VPN verhält sich hierbei identisch. IPsec ist nur von der Perfomance je nach genutztem Endgerät etwas flotter (was schon einmal gut ist).

    Das Problem hierbei ist ja, das ich mit IPv6 bis zur WAN-Schnittstelle der Sophos komme, aber von dort keinen Schritt weiter.
    Die Sophos hätte gerne eine durchgängige IPv6-Unterstützung, welche ich momentan nicht liefern kann.

    ZTNA würde ich jetzt nicht testen wollen. Da gibts leider zu viel Vorgeschichte und Sophos wird keinen Cent mehr an mir verdienen. Vielleicht netter Gedanke, aber nein danke Slight smile
    Versuche gerade das Problem hier mit den mir zur Verfügung stehenden Mitteln zu Lösen oder zu umgehen.

  • 0

    Gibt es eine Möglichkeit, das Problem auf diese Art und Weise zu lösen?
    https://support.sophos.com/support/s/article/KB-000035707?language=en_US

    Ich komme ja mit IPv6 bis zur Firewall hin und muss nur irgendwie das auf IPv4 übersetzen.

Cookie Information Banner