SSH zu OVPN Client über IPV6

I

ieddy

Neuling
Thread Starter
Mitglied seit
07.02.2021
Beiträge
6
Hallo. Ich habe auf einem VPS einen OVPN Server laufen. Dort habe ich die Möglichkeit mehrere IPV6 Adressen zu nutzen. Ich würde mich nun gerne auf einen mit dem OVPN verbunden Client über eine IPV6 Adresse mittels SSH verbinden. Auch soll hierfür eine Portweiterleitung zum Client realisiert werden. Leider bekomme ich immer Timeouts. Was ich gemacht habe:

OVPN Server mit IPV6 konfiguriert:
github.com

GitHub - angristan/openvpn-install: Set up your own OpenVPN server on Debian, Ubuntu, Fedora, CentOS or Arch Linux.

Set up your own OpenVPN server on Debian, Ubuntu, Fedora, CentOS or Arch Linux. - angristan/openvpn-install
github.com github.com

Server Conf:

port 1194
proto udp6
dev tun
user nobody
group nogroup
persist-key
persist-tun
keepalive 10 120
topology subnet
server 10.8.0.0 255.255.255.0
ifconfig-pool-persist ipp.txt
push "dhcp-option DNS 94.140.14.14"
push "dhcp-option DNS 94.140.15.15"
push "dhcp-option DNS6 2001:4860:4860::8888"
push "dhcp-option DNS6 2001:4860:4860::8844"
push "redirect-gateway def1 bypass-dhcp"
server-ipv6 fd42:42:42:42::/112
tun-ipv6
push tun-ipv6
push "route-ipv6 2000::/3"
push "redirect-gateway ipv6"
dh none
ecdh-curve prime256v1
tls-crypt tls-crypt.key
crl-verify crl.pem
ca ca.crt
cert server_AvwhcTZ2Z4658DQi.crt
key server_AvwhcTZ2Z4658DQi.key
auth SHA256
cipher AES-128-GCM
ncp-ciphers AES-128-GCM
tls-server
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
client-config-dir /etc/openvpn/ccd
status /var/log/openvpn/status.log
verb 3

Client Conf:
client
proto udp
explicit-exit-notify
remote 217.160.61.162 1194
dev tun
resolv-retry infinite
nobind
persist-key
persist-tun
remote-cert-tls server
verify-x509-name server_AvwhcTZ2Z4658DQi name
auth SHA256
auth-nocache
cipher AES-128-GCM
tls-client
tls-version-min 1.2
tls-cipher TLS-ECDHE-ECDSA-WITH-AES-128-GCM-SHA256
ignore-unknown-option block-outside-dns
setenv opt block-outside-dns # Prevent Windows 10 DNS leak
verb 3
<ca>
...


External Server IP = 2001:8d8:1800:8486::1
Internal OVPN Server IP = fd42:42:42:42::1
Internal OVPN Client IP = fd42:42:42:42::1000

und

sudo ip6tables -F &&
sudo ip6tables -A INPUT -i lo -j ACCEPT &&
sudo ip6tables -A INPUT -m conntrack --ctstate INVALID -j DROP &&
sudo ip6tables -A INPUT -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT &&
sudo ip6tables -A FORWARD -m conntrack --ctstate RELATED,ESTABLISHED -j ACCEPT &&
sudo ip6tables -A INPUT -p ipv6-icmp -j ACCEPT &&
sudo ip6tables -A INPUT -p tcp --dport 22 -j ACCEPT &&
sudo ip6tables -A FORWARD -p ipv6-icmp -j ACCEPT &&
sudo ip6tables -A FORWARD -s 2001:8d8:1800:8486::1 -j ACCEPT &&
sudo ip6tables -A FORWARD -s fd42:42:42:42::1000 -j ACCEPT &&
sudo ip6tables -A FORWARD -d fd42:42:42:42::1000 -p tcp --dport 22 -j ACCEPT &&
sudo ip6tables -A FORWARD -d fd42:42:42:42::1000 -p tcp --dport 25 -j ACCEPT &&
sudo ip6tables -A FORWARD -d fd42:42:42:42::1000 -p tcp --dport 80 -j ACCEPT &&
sudo ip6tables -A FORWARD -d fd42:42:42:42::1000 -p tcp --dport 443 -j ACCEPT &&
sudo ip6tables -A FORWARD -d fd42:42:42:42::1000 -p tcp --dport 587 -j ACCEPT &&
sudo ip6tables -A FORWARD -d fd42:42:42:42::1000 -p tcp --dport 993 -j ACCEPT &&
sudo ip6tables -A FORWARD -d fd42:42:42:42::1000 -p tcp --dport 4190 -j ACCEPT &&
sudo ip6tables -A INPUT -j ACCEPT

Leider ohne Erfolg. Ich bitte verzweifelt um Hilfe. Was fehlt mir?

Vielen Dank.
 
Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.
Wie sieht die Routingtable aus ?
 
Hallo,
vielen Dank für Deine Antwort. Der Output von netstat -nr -f inet6
ist beim VPN Server:

Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 10.255.255.1 0.0.0.0 UG 0 0 0 ens192
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
10.255.255.1 0.0.0.0 255.255.255.255 UH 0 0 0 ens192

und auf dem Client:
Kernel IP routing table
Destination Gateway Genmask Flags MSS Window irtt Iface
0.0.0.0 10.8.0.1 128.0.0.0 UG 0 0 0 tun0
0.0.0.0 192.168.178.1 0.0.0.0 UG 0 0 0 ens33
10.8.0.0 0.0.0.0 255.255.255.0 U 0 0 0 tun0
128.0.0.0 10.8.0.1 128.0.0.0 UG 0 0 0 tun0
192.168.178.0 0.0.0.0 255.255.255.0 U 0 0 0 ens33
217.160.61.162 192.168.178.1 255.255.255.255 UGH 0 0 0 ens33
 
Das ist die IPv4 Table, poste mal die IPv6.
Warum nutzt du eigentlich ULA Adressen ? Als interne IPv6 Adressen innerhalb des Tunnelnetzes ?
Was hat dein zweiter Client, von dem du dich aus verbinden möchtest, für eine IPv4/v6 Adresse ?
Du musst für dein Vorhaben auch von deinem zweiten Client aus eine VPN-Verbinung zum Server herstellen, das weißt du, ja ?
 
Zuletzt bearbeitet:
@sch4kal vielen Dank für deine Antwort.

IPV6 Server mit /sbin/route -A inet6:
Destination Next Hop Flag Met Ref Use If
localhost/128 [::] U 256 1 0 lo
linux/128 [::] U 256 1 0 ens192
fd42:42:42:42::/112 [::] U 256 1 0 tun0
fe80::/64 [::] U 256 1 0 ens192
fe80::/64 [::] U 256 1 0 tun0
[::]/0 [::] !n -1 1 1 lo
localhost/128 [::] Un 0 3 40424 lo
linux/128 [::] Un 0 3 82 ens192
fd42:42:42:42::/128 [::] Un 0 2 0 tun0
linux/128 [::] Un 0 2 0 tun0
fe80::/128 [::] Un 0 2 0 ens192
fe80::/128 [::] Un 0 2 0 tun0
linux/128 [::] Un 0 3 1306 ens192
linux/128 [::] Un 0 2 0 tun0
ff00::/8 [::] U 256 2172641 ens192
ff00::/8 [::] U 256 1 0 tun0
[::]/0 [::] !n -1 1 1 lo

Client:
Destination Next Hop Flag Met Ref Use If
ip6-localhost/128 [::] U 256 1 0 lo
[::]/3 [::] U 1024 1 0 tun0
2001:16b8:a06b:8000::/64 [::] UAe 256 1 0 ens33
2000::/4 [::] U 1024 2 17 tun0
3000::/4 [::] U 1024 1 0 tun0
2000::/3 [::] U 1024 1 0 tun0
fd42:42:42:42::/112 [::] U 256 1 0 tun0
fc00::/7 [::] U 1024 1 0 tun0
fe80::/64 [::] U 256 2 2 ens33
fe80::/64 [::] U 256 1 0 tun0
[::]/0 _gateway UGDAe 1024 1 0 ens33
ip6-localhost/128 [::] Un 0 3 7 lo
ubuntubase/128 [::] Un 0 2 0 ens33
ubuntubase/128 [::] Un 0 2 0 tun0
ubuntubase/128 [::] Un 0 3 125 ens33
ubuntubase/128 [::] Un 0 2 0 tun0
ip6-mcastprefix/8 [::] U 256 2 99643 ens33
ip6-mcastprefix/8 [::] U 256 1 0 tun0
[::]/0 [::] !n -1 1 1 lo

ULA Adressen wurden vom OVPN_Install script so definiert und von mir nicht geändert. Ich hätte gerne eine Verbindung zum Client ohne, dass ich mich mit einem weiteren Client per VPN in das Netzwerk wählen muss. Sprich dass der Client exakt gleich reagiert wie der OVPN Server weil alle ports/traffic an den Client weitergeleitet werden sollen. Das funktioniert per IVP4 schon gut. Leider nicht mit IPV6.

Grüße
 
Dann brauchst du ebenfalls eine Adressübersetzung, da ULA Adressen bekanntlich nicht im Internet geroutet werden. Les dich mal zu ip6tables (besser nftables da iptables so langsam aus der Mode/den Distributionen sind) und Mangle ein.
 
Anmelden, um zu antworten.
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh