Beschreibung:
Aufgrund der Knappheit freier IPv4-Adressen bieten viele Provider hauptsächlich Dual Stack Lite Anschlüsse an. Dabei wird eine IPv6-Adresse bereitgestellt sowie eine private IPv4-Adresse. Diese wird vom Provider durch Carrier Grade NAT umgesetzt.
Ein Zugriff von extern ist damit nur noch auf die IPv6-Adresse möglich. Der Aufbau einer VPN-Verbindung von einem reinen IPv4-Anschluss ist ohne weitere Hilfsmittel nicht möglich.
An dieser Stelle wird ein Übersetzer von IPv4 auf IPv6 benötigt, ein sogenannter Portmapper. Dieser verfügt sowohl über IPv4- als auch über IPv6-Adressen.
Bitte beachten Sie, dass bei diesem Service die Daten über den Server des Dienstanbieters übertragen werden. Sind diese Daten nicht verschlüsselt, kann der Anbieter diese in der Theorie mitlesen! In diesem Konfigurationsbeispiel werden die Daten jedoch über eine verschlüsselte VPN-Verbindung übertragen.
In diesem Dokument ist die Einrichtung einer VPN-Verbindung mit dem Advanced VPN Client von einem IPv4- zu einem IPv6-Anschluss mit dem Port-Mapper des Anbieters feste-ip.net beschrieben.


Szenario:
  • In der Zentrale ist eine Internet-Verbindung mit Dual Stack Lite vorhanden.
  • Ein Außendienstmitarbeiter soll von unterwegs über den Advanced VPN Client auf Freigaben in der Zentrale zugreifen können.
  • Dem Außendienstmitarbeiter steht unterwegs nicht immer ein Internet-Anschluss mit IPv6-Adresse zur Verfügung.



Voraussetzungen:
  • LCOS ab Version 10.12 (download aktuelle Version)
  • LANtools ab Version 10.12 (download aktuelle Version)
  • Advanced VPN Client ab Version 3.11 Rel (download aktuelle Version)

    Info:
    Der Advanced VPN Client unterstützt in der aktuellen Version 4.14 lediglich den VPN-Aufbau zu einer IPv6-Gegenstelle, nicht aber IPv6-Kommunikation über die VPN-Verbindung. Dies wird in einer zukünftigen Version implementiert.
  • Bereits konfigurierte und funktionsfähige Internet-Verbindung
  • Account bei dem Anbieter feste-ip.net (kostenpflichtig)
  • Account bei einem DynDNS-Anbieter, welcher auch IPv6 unterstützt


Vorgehensweise:
1. Einrichtung eines DynDNS-Abgleichs für IPv6:
1.1 Starten Sie den Setup-Assistenten in LANconfig und wählen Dynamic DNS konfigurieren.
1.2 Wählen Sie aus der Liste Ihren Dynamic-DNS-Anbieter aus.
1.3 Hinterlegen Sie anschließend Ihre Internet-Gegenstelle.
1.4 Geben Sie den DNS auflösbaren Namen sowie die Zugangsdaten für Ihren Account an.
1.5 Klicken Sie auf Fertig stellen, um den Setup-Assistenten abzuschließen.
1.6. Öffnen Sie die Konfiguration des Routers in LANconfig und wechseln in das Menü Kommunikation -> Allgemein -> Aktions-Tabelle.
1.7 Ersetzen Sie den Parameter %a in den ersten drei Zeilen durch den Parameter %z, damit die IPv6-Adresse anstatt der IPv4-Adresse an den DynDNS-Anbieter gesendet wird. Dies muss sowohl in dem Feld Aktion als auch in dem Feld Ergebnis-Auswertung vorgenommen werden.



2. Konfiguration des Port-Mappers bei dem Anbieter feste-ip.net:
2.1 Loggen Sie sich in Ihrem feste-ip.net Account ein.
2.2 Wechseln Sie auf Mein Account -> Credits & Addons und klicken auf Addonbuchung.
2.3 Wählen Sie als IP-Typ den Punkt Dedizierte Portmapper-IPv4 aus und klicken auf IP-Adresse verbindlich bestellen.
2.4 Wechseln Sie nun auf Universelle Portmapper und klicken auf das Plus-Zeichen, um einen neuen Eintrag zu erstellen.
2.5 Hinterlegen Sie folgende Informationen:
  • Mapping-Server: Wählen Sie im Dropdown-Menü Dedizierte Portmapper-IPv4 mit der Ihnen zugewiesenen IPv4-Adresse aus
  • IPv4 Port: 443
  • IPv6 Ziel (DNS oder IP): Tragen Sie die in Schritt 1.4 vergebene DynDNS-Adresse ein
  • IPv6 Port: 443
Info: 
 Portmapper wie  feste-ip.net  unterstützen lediglich  TCP  und kein  UDP . Daher kann kein normales IPSec verwendet werden und es muss stattdessen  IPSec-over-HTTPS  eingesetzt werden. Dabei werden die  IPSec-Pakete  in  HTTPS  gekapselt.


3. Manuelle Anpassungen im Advanced VPN Client Profil:
3.1 Richten Sie die VPN-Verbindung wie in diesem Knowledge Base Artikel beschrieben ein und importieren das VPN-Profil in den Advanced VPN Client.
Wichtig: 
 Stellen Sie sicher, dass in der Konfiguration des Routers unter  VPN -> Allgemein  der Haken bei  IPSec-over-HTTPS annehmen  gesetzt ist.
Der Setup-Assistent zum Erstellen einer VPN-Einwahl-Verbindung legt automatisch eine IPv6-Inbound-Regel für HTTPS an. Wenn Sie einen bereits bestehenden Einwahl-Zugang verwenden, müssen Sie diese unter  Firewall/QoS -> IPv6-Regeln -> IPv6-Inbound-Regeln  gegebenenfalls noch anlegen.
3.2 Wechseln Sie im Advanced VPN Client auf Konfiguration -> Profile.
3.3 Markieren Sie das VPN-Profil und klicken auf Bearbeiten.
3.4 Tragen Sie unter IPSec-Einstellungen bei Gateway (Tunnel-Endpunkt) die in Schritt 2.5 ausgewählte IP-Adresse ein.
3.5 Wählen Sie zuletzt unter Erweiterte IPSec-Optionen den Punkt UDP Encapsulation und setzen den Port auf 444, damit immer IPSec-over-HTTPS verwendet wird.
3.6 Klicken Sie im Advanced VPN Client auf den Schieberegler unter Verbindung, um die VPN-Verbindung aufzubauen.



4. Eingehenden HTTPS-Datenverkehr auf dem Provider-Router freigeben (je nach Provider):
Wenn Sie einen Provider-Router verwenden, muss auf diesem höchstwahrscheinlich eine Inbound-IPv6 Regel in der Firewall angelegt werden, welche eingehenden HTTPS-Datenverkehr zulässt.
Konsultieren Sie dazu die Dokumentation Ihres Provider-Routers oder wenden Sie sich an Ihren Provider.