Windows Server 2016 IPv6 VPN Zugriff nicht möglich

[DonMarcello]

Hallo zusammen,

ich bräuchte von euch ein paar Hilfestellungen zu folgendem Problem:

Ich habe einen Microserver Gen8 auf dem via ESXi Windows Server 2016 läuft. Der Internetanschluss kommt von Unitymedia. Hier gibt es ja bekanntlich das DSLite-Problem, das dafür sorgt, dass VPN per IPv4 nicht ohne weiteres funktioniert. Mein aktueller Mobilfunkprovider bietet echtes DS, und somit auch eine IPv6-Adresse an. Jetzt versuche ich das VPN über IPv6 aufzubauen.

Im Windows Server 2016 ist soweit alles fürs VPN eingerichtet. Wenn ich die VPN-Verbindung im selben LAN aufbaue, funktioniert alles. Auch wenn es keinen Sinn macht, somit habe ich aber überprüft, ob die Authentifizierung funktioniert.

Das ganze funktioniert aber nicht aus dem Internet heraus. Das Port Forwarding für L2TP/IPSec mit PSK ist eingerichtet. Der Server ist auch aus dem Internet per Ping V6 erreichbar. Die VPN-Verbindung funktioniert aber nicht. Ich habe via ESXi noch eine Linux-VM laufen. Auf die kann ich auf gleicher Weise per SSH problemlos aus dem Internet zugreifen. Die Ports für L2TP/IPSec hatte ich test weise in der Windows-Firewall auch nochmal explizit freigegeben, was aber auch nicht funktioniert.

Für mich scheint es irgendwie ein Firewall-Problem oder ähnliches beim Win2016 Server zu sein. Am Router liegt es vermutlich nicht, da ja das Linux-SSH funktioniert. Im Port-Forwarding habe ich folgende Ports zum Server eingetragen:

UDP Port Number=500
UDP Port Number=4500
UDP Port Number=1701

Wenn ich die offenen Ports vom Server scanne, sind die oben drei genannten nicht dabei. Auch nicht, wenn ich diese in der Windows Firewall freigebe. Vielleicht liegt hier das Problem.

Kurz nochmal zusammengefasst:

- Der Server ist aus dem Internet per Ping V6 erreichbar
- VPN funktioniert im eigenen LAN, Authentifizierung somit auch
- Die Linux-VM ist per SSH aus dem Internet erreichbar, Port Forwarding sollte somit auch klappen
- Bei gleicher Vorgehensweise wie bei der Linux-VM erreiche ich nicht den Server
- IPv6-Zugriff ist generell über das Smartphone möglich

Vielleicht weiß von euch jemand, woran es hakt. Über ein paar Tipps würde ich mich freuen.

Danke im Voraus!

 

[fullduplex]

Ich weiß zwar nicht woran es konkret hakt, würde aber zunächst prüfen ob die IKE-Pakete aus dem Mobilfunknetz am Router und schliesslich an der VM ankommen. Die IKE-Pakete müssten bei deinem Konstrukt als erstes sichtbar sein. Erst wenn der Tunnel dann verhandelt ist, würde noch das L2TP innerhalb von IPSec-ESP-Paketen kommen (aber das nicht mehr direkt sichtbar da eingepackt).

Am Router musst du selbst gucken wie du das mitbekommen kannst - Statistiken, Paket-Capture, Logging/Traces? Bei der VM müssten die IKE-Pakete im Wireshark zu sehen sein. Ggf. mal an die Linux-VM forwarden und dort mit Wireshark gucken um sicher zu gehen.

Wenn es gar nicht am Router ankommt, wäre es evtl. ja möglich das schon der Mobilfunkprovider einen IKE-Aufbau in Richtung "Mobilgerät" (bei dir der Server) filtert.

Die Tests mit SSH sind nur bedingt aussagekräftig - das ist ein anderes Protokoll und nutzt Port 22 mit TCP statt Port 500/4500 UDP. Damit kannst du keine Aussage über IKE treffen.

 

[DonMarcello]

Vielen Dank schon mal für deine Antwort.

Die Tests mit SSH sind nur bedingt aussagekräftig - das ist ein anderes Protokoll und nutzt Port 22 mit TCP statt Port 500/4500 UDP. Damit kannst du keine Aussage über IKE treffen.

Eine kurze Ergänzung: Port 22 wird im Router für SSH geforwarded. Von daher war meine Annahme, dass das Port Forwarding generell funktioniert. Das bestimmte Ports vom Router trotzdem geblockt werden kann ich mir eigentlich nicht vorstellen. Wie das auf der Mobilfunkseite aussieht, weiß ich natürlich nicht.