Clients met IPv6 kunnen niet connecten met remote server

Pagina: 1
Acties:

Acties:
  • 0 Henk 'm!

  • ASS-Ware
  • Registratie: Februari 2007
  • Laatst online: 15:28
All,

Situatie bij de klant.

Netwerk, 192.168.180.0/24 subnet.

Internetverbinding tijdelijk via 4G router, binnenkort Ziggo Zakelijk, van buiten alleen een IPv4 adres.
Een aantal poorten geforward naar interne adressen.

OpenVPN server, deelt 10.x.x.x adressen uit en routeert verkeer van VPN clients naar binnen toe.

Diverse PC's bedraad aangesloten, diverse PC's en laptops op wifi, allen een 192.168.180.0/24 adres middels interne DHCP server.

Alle PC's en laptops, Windows 7 en 10, zijn lid van het lokale Windows domein, domein.lan.


Situatie bij 14 werknemers thuis.

Windows 10 laptops op wifi, alleen IPv4 aan de WAN kant, OpenVPN client.
Gebruikers loggen in met cashed credentials, maken verbinding met OpenVPN client en hebben toegang tot de server.


Situatie bij 2 werknemers thuis.

Laptops op wifi, IPv4 en IPv6 aan de WAN kant, laptops krijgen publiek IPv6 adres, OpenVPN client.
Gebruikers loggen in met cashed credentials, maken verbinding met OpenVPN client en hebben geen toegang tot de server.


Troubleshooting bij 2 werknemers thuis.

ping domein.lan:
Ping request could not find host domein.lan. Please check the name and try again.

ping -4 domein.lan:
Pinging domein.lan [192.168.180.10] with 32 bytes of data:
Reply from 192.168.180.10: bytes=32 time=114ms TTL=64
Reply from 192.168.180.10: bytes=32 time=45ms TTL=64
Reply from 192.168.180.10: bytes=32 time=86ms TTL=64
Reply from 192.168.180.10: bytes=32 time=50ms TTL=64

nslookup domein.lan:
Server: server.domein.lan
Address: 192.168.180.10

Name: domein.lan
Address: 192.168.180.10

Een gewone ping vindt de domeinnaam niet, een ping -4 wel en en nslookup ook.

Zet ik op de wifi verbinding van de laptops IPv6 uit, dan werkt alles prima, maar dat is niet de bedoeling.

Het zou toch zo moeten zijn dat als de client geen AAAA records kan vinden, dat hij dan een A record gaat proberen?

Wie heeft hier tips en truuks?

Acties:
  • 0 Henk 'm!

  • chup5528
  • Registratie: April 2007
  • Laatst online: 08:16
Vaag probleem, maar een workaround zou zijn de clients IPv4 te laten prefereren boven IPv6:

https://support.microsoft...indows-for-advanced-users

Acties:
  • 0 Henk 'm!

  • idef1x
  • Registratie: Januari 2004
  • Laatst online: 12:14
krijgen ze via openvpn een dns server gepushed of blijven ze hun standaard dns (dus zonder openvpn) gebruiken?

Acties:
  • 0 Henk 'm!

  • DataGhost
  • Registratie: Augustus 2003
  • Laatst online: 15-10 23:54

DataGhost

iPL dev

Klinkt inderdaad alsof de DNS over IPv6 geprefereerd wordt, en .lan is geen geldig TLD, dus wordt domein.lan uberhaupt niet opgezocht, niet met AAAA en ook niet met A. Kennelijk pakt de v4-forced lookup wel de VPN-DNS.

Ziet eruit alsof het hier ook besproken en uiteindelijk opgelost wordt. Zorgen dat de VPN-interface een hogere prioriteit heeft met resolven zou het moeten fixen. Je zou eventueel ook kunnen proberen of je je search domain / dns suffix domein.lan mee kan pushen met de openvpn-settings, misschien kiest 'ie dan die DNS voor dat domein. Als dat werkt zou je op je clients niet eens iets hoeven te veranderen. Dus:
push "dhcp-option DOMAIN domein.lan"

[ Voor 60% gewijzigd door DataGhost op 08-03-2019 12:50 ]


Acties:
  • 0 Henk 'm!

  • ASS-Ware
  • Registratie: Februari 2007
  • Laatst online: 15:28
chup5528 schreef op vrijdag 8 maart 2019 @ 11:35:
Vaag probleem, maar een workaround zou zijn de clients IPv4 te laten prefereren boven IPv6:

https://support.microsoft...indows-for-advanced-users
Heb ik aan gedacht, zou het wellicht oplossen, maar zou zo het niet moeten, lijkt me.

Acties:
  • 0 Henk 'm!

  • ASS-Ware
  • Registratie: Februari 2007
  • Laatst online: 15:28
idef1x schreef op vrijdag 8 maart 2019 @ 12:23:
krijgen ze via openvpn een dns server gepushed of blijven ze hun standaard dns (dus zonder openvpn) gebruiken?
Ze krijgen die DNS servervanuit de config file: dhcp-option DNS 192.168.180.10

Acties:
  • 0 Henk 'm!

  • idef1x
  • Registratie: Januari 2004
  • Laatst online: 12:14
Hmmm lijkt inderdaad erop dat je IPv6 DNS voorrang krijgt. Misschien een niet al te nette oplossing, maar wellicht kun je je openvpn server voorzien van bijvoorbeeld:

server-ipv6 fd00:192:168:80::/64
push "dhcp-option DNS fd00:192:168:80::1"

De 1e heb je nodig om ipv6 in openvpn te activeren en met de 2e push je een ipv6 DNS naar je clients. Deze krijgen een ipv6 adres in de tunnel in de fd00:192:168:80::/64 reeks.
Ook al draait er geen DNS op je openvpn server forceerd ie je clients hopelijk om uiteindelijk op de ipv4 terug te vallen. Geen idee of dit gaat werken overigens. Tis meer een vrijdagmiddag kortsluiting in de hersenen oplossing ;)

Andere oplossing is inderdaad de voorkeur op ipv4 proberen te krijgen voor die ipv6 clients

Acties:
  • 0 Henk 'm!

  • nelizmastr
  • Registratie: Maart 2010
  • Laatst online: 15:55

nelizmastr

Goed wies kapot

Tja, in W10 is met de huidige versie nou eenmaal IPv6 geprefereerd. Al vaker gezien. Om IPv6 fatsoenlijk werkend te krijgen moeten beide kanten het ondersteunen, anders IPv4 als voorkeur aanmerken of IPv6 zelfs uitschakelen.

I reject your reality and substitute my own


Acties:
  • 0 Henk 'm!

  • Brahiewahiewa
  • Registratie: Oktober 2001
  • Laatst online: 30-09-2022

Brahiewahiewa

boelkloedig

ASS-Ware schreef op vrijdag 8 maart 2019 @ 11:26:
...
Het zou toch zo moeten zijn dat als de client geen AAAA records kan vinden, dat hij dan een A record gaat proberen?
...
Is er wel een A record voor domein.lan?
Zowel ping -4 als nslookup gebruiken netBIOS voor hun name resolution

QnJhaGlld2FoaWV3YQ==


Acties:
  • 0 Henk 'm!

  • ASS-Ware
  • Registratie: Februari 2007
  • Laatst online: 15:28
Brahiewahiewa schreef op vrijdag 8 maart 2019 @ 18:27:
[...]

Is er wel een A record voor domein.lan?
Zowel ping -4 als nslookup gebruiken netBIOS voor hun name resolution
Erh, dan zou ik dit niet krijgen:

ping -4 domein.lan:
Pinging domein.lan [192.168.180.10] with 32 bytes of data:
Reply from 192.168.180.10: bytes=32 time=114ms TTL=64
Reply from 192.168.180.10: bytes=32 time=45ms TTL=64
Reply from 192.168.180.10: bytes=32 time=86ms TTL=64
Reply from 192.168.180.10: bytes=32 time=50ms TTL=64
Pagina: 1