IPv6 com IPv4 sobre RRAS SSTP VPN do cliente que só tem acesso IPv4

1

Estou configurando o Server 2012 R2 RRAS para ser uma VPN SSTP. Eu tenho o IPv4 funcionando perfeitamente. Meu ambiente é dual stack (v4 e v6). Quando eu ativo o IPv6 na VPN, meu cliente obtém um endereço válido, mas não consegue se comunicar com nada pela VPN usando o IPv6. Se eu pingar um nome de computador, ele obtém o endereço ipv6, mas expira onde, se eu fizer ping com -4, ele recebe o endereço v4 e pinga perfeitamente bem. Eu tenho batido minha cabeça sobre isso por alguns dias agora e nada que eu tentei ou quaisquer pesquisas na web me apontaram para uma solução. Eu estou começando a me perguntar se talvez a VPN precisa de outra porta aberta para o IPv6 atravessar o túnel?

Eu tenho as opções de servidor de acesso IPv6 Router (LAN e de discagem por demanda) e IPv6 ativadas na guia geral no RRAS, assim como especifiquei um prefixo na guia IPv6. Eu tentei o prefixo sendo seu próprio prefixo privado e usando o mesmo prefixo que está em uso na rede.

Alguém mais tem esse trabalho? Eu tenho a sensação de que é provavelmente uma pequena coisa em algum lugar que eu perdi. Ou ele não envia o tráfego ipv6 através do ipv4 vpn e você precisa estar em uma máquina cliente que tenha ipv4 e ipv6 para o ipv6 funcionar na vpn?

    
por David 12.05.2015 / 17:20

2 respostas

2

Eu pensei em fornecer um cenário de roteador Linux mais genérico para usuários que não usam pfSense, mas um roteador baseado em Linux (no meu caso, DD-WRT).

ip -6 route add xxxx:xxx:xxxx:xxxx::/64 via xxxx:xxx:xxxx:xx::x dev br0
  • O prefixo IPv6 configurado na guia RRAS IPv6 precisa ser adicionado após o add
  • O endereço IP da LAN IPv6 da caixa RRAS é a via (essencialmente o gateway)
  • br0 é a interface LAN do seu roteador. Este é geralmente o padrão no DD-WRT, para outros roteadores pode ser outra interface como eth0

O único problema que descobri é que, enquanto essa rota estática permite que o tráfego IPv6 flua para o exterior, ela não fornece acesso a outros endereços IPv6 da LAN na sub-rede IPv6 do endereço IP da LAN do servidor. Provavelmente porque a sub-rede é um / 64 diferente. Para resolver isso, você precisa adicionar rotas estáticas IPv6 na própria caixa RRAS para permitir essa conectividade.

    
por 21.08.2015 / 14:01
0

Acontece que foi uma coisa pequena e foi preciso analisar o problema de uma maneira completamente diferente para descobrir isso.

O problema não foi com o RRAS que estava com a configuração do software do roteador (neste caso o pfSense). Quando em um cliente VPN conectado, eu estava recebendo um endereço IPv6 e a resolução de nomes estava funcionando, mas nada responderia por IPv6. O problema era que meus pacotes v6 entrariam na minha rede, mas as máquinas locais não tinham nenhuma informação de rota sobre como voltar para a máquina conectada VPN. Eu tive que configurar uma rota estática no meu roteador para o prefixo usado no RRAS para rotear esse prefixo na minha rede de volta para a caixa RRAS. Agora, quando a caixa interna tentava responder, veria um prefixo diferente e o enviaria para meu roteador, então meu roteador o encaminharia para o RRAS, que então o enviaria ao cliente conectado VPN.

Claro que demorou muito para rastrear isso, mas finalmente está funcionando.

    
por 12.08.2015 / 17:56