Thread Info
  • State Not Answered
  • Locked Locked
  • Replies 5 replies
  • Subscribers 8 subscribers
  • Views 2991 views
  • Users 0 members are here
Options
Suggested
This discussion has been locked.
You can no longer post new replies to this discussion. If you have a question you can start a new discussion

IPsec (Connect Client) mit IPv6 nutzen

Anonymous User

Hallo Forum,

vielleicht kann mir hier jemand helfen J
Ich habe zwei Sophos XGS 3300 im HA-Cluster am laufen.
Einige Kollegen sind im Homeoffice und haben (leider) ein Vodafone DS-Light Anschluss.
Diese Kollegen haben oft Probleme sich per VPN vernünftig zu verbinden.

Daher direkt zu meiner Frage:
Was muss ich einstellen, damit ich für die VPN per IPv6 von außen erreichbar bin, in der VPN selbst aber alles per IPv4 läuft?
Mein Netzwerk ist aktuell nur auf IPv4 konfiguriert. IPv6 gibt’s noch nicht.
Die Firewall hat aber eine öffentliche IPv6 konfiguriert und ist über diese auch schon von außen erreichbar.
Es fehlt nur die Konfiguration für die interne Kommunikation.

Ich habe aber leider absolut keine Ahnung wie ich das bewerkstelligen soll.
Hilft hier ein IP-Tunnel weiter? Wenn ja, was muss ich angeben?

Der Weg sollte so sein:
Firmennetz (Intern) <-> Firewall <-> Internet <-> Router Zuhause <-> Client
IPv4                            <-> IPv4/6   <-> IPv6       <-> IPv4/6                    <-> IPv4



Added TAGs
[edited by: Erick Jan at 3:01 AM (GMT -7) on 30 May 2023]
Parents
  • 0

    Du kannst bei der openVPN Community mal schauen, dort gibt es zig Artikel zu IPv6 (Vodafone) und die Problematiken dazu. Das ist kein "Sophos Problem", in dem Sinne, da es von dem unterliegendem Modul ausgelöst wird. 

    Häufig wechseln diese User durch Sophos Connect (Ipsec vs SSL VPN) und manchmal klappt dann eins von beiden.

    Was ich da nur empfehlen kann: Sophos ZTNA wird demnächst starten. Das EAP Program hat bereits geöffnet und man könnte es kostenfrei ausprobieren. Im Grunde wird ZTNA den VPN Zugang, wie wir ihn kennen, wahrscheinlich in den nächsten Jahren verdrängen. Dort existiert dieses "IPv6 tunnel Problem" einfach nicht mehr, da du keine Tunnel und Netzwork Layer mehr hast. 
    Wenn du einen ESXi Server und IDP (Azure AD) hast, kannst du es mal ausprobieren: https://community.sophos.com/zero-trust-network-access/b/announcements/posts/sophos-ztna-early-access-now-available

    __________________________________________________________________________________________________________________

Reply
  • 0

    Du kannst bei der openVPN Community mal schauen, dort gibt es zig Artikel zu IPv6 (Vodafone) und die Problematiken dazu. Das ist kein "Sophos Problem", in dem Sinne, da es von dem unterliegendem Modul ausgelöst wird. 

    Häufig wechseln diese User durch Sophos Connect (Ipsec vs SSL VPN) und manchmal klappt dann eins von beiden.

    Was ich da nur empfehlen kann: Sophos ZTNA wird demnächst starten. Das EAP Program hat bereits geöffnet und man könnte es kostenfrei ausprobieren. Im Grunde wird ZTNA den VPN Zugang, wie wir ihn kennen, wahrscheinlich in den nächsten Jahren verdrängen. Dort existiert dieses "IPv6 tunnel Problem" einfach nicht mehr, da du keine Tunnel und Netzwork Layer mehr hast. 
    Wenn du einen ESXi Server und IDP (Azure AD) hast, kannst du es mal ausprobieren: https://community.sophos.com/zero-trust-network-access/b/announcements/posts/sophos-ztna-early-access-now-available

    __________________________________________________________________________________________________________________

Children
  • 0 in reply to LuCar Toni

    Ein direktes Sophos-Problem ist es nicht. Wenn es ein Problem mit Sophos gibt, dann nur das fehlende NAT64. Das würde das Problem glaube ich direkt lösen.
    In der openVPN-Community findet man hierzu nichts hilfreiches. Die Foren haben wir schon alle durchforstet.
    Was aktuell in den meisten Fällen - aber nicht immer - hilft, ist das deaktivieren von IPv6 am Client selbst, damit dieser gezwungen ist IPv4 zu nutzen.
    Das führt aber vor allem im Vodafone-Netz zu Performance-Problemen oder Verbindungsabbrüche. Im Telekom- oder O2-Netz ist soweit alles gut.
    Selbst bei lokalen ISPs gibts so gut wie keine Klagen.
    IPsec und SSL VPN verhält sich hierbei identisch. IPsec ist nur von der Perfomance je nach genutztem Endgerät etwas flotter (was schon einmal gut ist).

    Das Problem hierbei ist ja, das ich mit IPv6 bis zur WAN-Schnittstelle der Sophos komme, aber von dort keinen Schritt weiter.
    Die Sophos hätte gerne eine durchgängige IPv6-Unterstützung, welche ich momentan nicht liefern kann.

    ZTNA würde ich jetzt nicht testen wollen. Da gibts leider zu viel Vorgeschichte und Sophos wird keinen Cent mehr an mir verdienen. Vielleicht netter Gedanke, aber nein danke Slight smile
    Versuche gerade das Problem hier mit den mir zur Verfügung stehenden Mitteln zu Lösen oder zu umgehen.

Unfiltered HTML