PfSense - IPSec mit IPv4 Remote IP wird aber IPv6 genommen

Aus znilwiki
Wechseln zu: Navigation, Suche

Problem

Wie in diesem Artikel beschrieben FritzBox - Site to Site VPN zu pfSense 2.2 nutze ich einen IPSec-Tunnel zwischen meiner Fritz!Box 7390 zu Hause und inzwischen mehreren pfSense-Appliances.
Nachdem ich auf den pfSense-Systemen nun auch IPv6 voll durchkonfiguriert habe gab es ein neues Problem welches auch schon in die Fehlerliste der pfSense-Entwickler aufgenommen wurde:

https://redmine.pfsense.org/issues/4147

Leider steht da nichts von einem Workaround, also einer Anleitung wie man den Fehler umschiffen kann.
Der Fehler netsetht dadurch das für den IPSec Verbindungsaufbau die Fritz!Box ihren DynDNS-Namen nutzt. Die pfSense löst diesen Namen per DNS auf und erhält nun 2 Antworten:

  • Die IPv4 Adresse
  • Die IPv6 Adresse

Nun vergleicht die pfSense bei einer eingehenden Anfrage die IP-Adresse der Fritz!Box mit der aus der DNS-Abfrage. Da es ein IPv4 Tunnel ist passt die Adresse nicht zur IPv6 Adresse welche die pfSense zum vergleich nimmt.
Umgekehrt, wenn die pfSense versucht Verbindung zur Fritz!Box aufzunehmen passt es auch nicht da diese dann mit Ihrer IPv6 ankommt und auf der Fritz!Box nur die IPv4 hinterlegt ist.

In der Status-Übersicht sieht das dann so aus:

IPSec-pfSense-IPv6-DynDNS-Error-001.png


IPv6 wieder abschalten wollte ich nun auch wieder nicht - also was tun?


Lösung 1: IPv4 zum bevorzugten Protokoll machen

Nach einigen Suchen (Google ist toll - das schwierige ist die richtige Frage zu formulieren) fand ich diese Anleitung:

https://doc.pfsense.org/index.php/Controlling_IPv6_or_IPv4_Preference

Darin wird erklärt das die pfSense bei konfigurierten IPv6 diese auch immer gleich bevorzugt.
Im Prinzip toll und richtig - solange es den Bug gibt aber schlecht für uns. Also konfigurieren wir das um das er bitte schön IPv4 bevorzugt.

Wir gehen zu:

System -> Advanced -> Networking

und Setzen dort den Haken bei

[X] Prefer to use IPv4 even if IPv6 is available


IPSec-pfSense-IPv6-DynDNS-Error-002.png




Kommentare


Kommentar hinzufügen
znilwiki freut sich über alle Kommentare. Sofern du nicht anonym bleiben möchtest, registriere dich bitte oder melde dich an.