web-dev-qa-db-ja.com

IPv4アクセスのみを持つクライアントからのIPv4over RRAS SSTPVPNを使用したIPv6

Server 2012 R2RRASをSSTPVPNとして設定しています。 IPv4は完全に機能しています。私の環境はデュアルスタック(v4とv6)です。 VPNでIPv6を有効にすると、クライアントは有効なアドレスを取得しますが、IPv6を使用してVPN経由で何とも通信できません。コンピューター名にpingを実行すると、ipv6アドレスが取得されますが、-4でpingを実行すると、v4アドレスが取得され、完全に正常にpingが実行されます。私はこれに数日間頭をぶつけてきました、そして私が試したものは何もありません、またはどんなウェブ検索も私に解決策を示しました。 VPNがIPv6がトンネリングするために別のポートを開く必要があるのではないかと思い始めていますか?

RRASの[全般]タブでIPv6ルーター(LANとデマンドダイヤル)と[IPv6削除アクセスサーバー]オプションを有効にし、[IPv6]タブでプレフィックスを指定しました。独自のプライベートプレフィックスであり、ネットワークで使用されているものと同じプレフィックスを使用して、プレフィックスを試しました。

他の誰かがこれを機能させていますか?どこかで見逃したのはちょっとしたことだと思います。または、ipv4 vpnを介してipv6トラフィックを送信せず、ipv6がvpnを介して機能するには、ipv4とipv6の両方を備えたクライアントマシン上にいる必要がありますか?

3
David

PfSenseではなくLinuxベースのルーター(私の場合はDD-WRT)を使用しているユーザー向けに、より一般的なLinuxルーターのシナリオを提供すると思いました。

ip -6 route add xxxx:xxx:xxxx:xxxx::/64 via xxxx:xxx:xxxx:xx::x dev br0
  • [RRAS IPv6]タブで構成されたIPv6プレフィックスは、追加後に追加する必要があります
  • RRASボックスのIPv6LAN IPアドレスは、経由(基本的にはゲートウェイ)です。
  • br0はルーターのLANインターフェースです。これは通常、DD-WRTのデフォルトです。他のルーターの場合は、eth0のような別のインターフェースである可能性があります。

私が発見した唯一の問題は、この静的ルートがIPv6トラフィックを外部に流すことを許可している一方で、サーバーのLANIPアドレスのIPv6サブネット内の他のLANIPv6アドレスへのアクセスを提供しないことです。サブネットが異なる/ 64である可能性があります。これを解決するには、RRASボックス自体にIPv6静的ルートを追加して、この接続を許可する必要があります。

3
James White

それは小さなことであり、問​​題を理解するためにまったく異なる方法で問題を検討する必要がありました。

問題はRRASではなく、ルーターソフトウェアのセットアップ(この場合はpfSense)にありました。 VPN接続されたクライアントで、IPv6アドレスを取得し、名前解決は機能していましたが、IPv6では何も応答しませんでした。問題は、v6パケットがネットワークに正常に入るが、ローカルマシンにはVPN接続されたマシンに戻る方法に関するルート情報がないことでした。ネットワーク上のプレフィックスをRRASボックスにルーティングするために、RRASで使用されるプレフィックスの静的ルートをルーターに設定する必要がありました。これで、内部ボックスがトークバックしようとすると、別のプレフィックスが表示されてルーターに送信され、ルーターがRRASに転送して、VPNに接続されたクライアントに送信します。

確かにこれを追跡するのに長い時間がかかりましたが、ついに機能しています。

1
David