none
IPsec Verbindung zw. Win und Win2008R2 over IPv6 RRS feed

  • Allgemeine Diskussion

  • Hallo allerseits,

    ich arbeite grade an einem kleinen Projekt. In dessen Rahmen ist es nötig oben genannte IPSec verbindung herzustellen.

    Scenario:

          CLIENT                    TO                               GATEWAY       IPSEC Verbindung

    Win7 <---ipv6--->R1<---ipv6--->R2<---ipv6--->Win2008R2  die beiden Router sind Vyatta Router, das komplette system ist VM basiert, und in 3 subnetze unterteilt.
    2000:db8:1::/64  links
    2000:db8:3::/64  mitte(router netz) die router hängen natürlich jeweils in ihrem eigenen und dem angrenzenden netz.
    2000:db8:2::/64  rechts


    In der Start Konfiguration alles IPv4 statt IPv6 hat alles ohne Probleme funktioniert. Nun wollte ich mit den selben Regeln meine IPv6 Verbindung zum laufen bringen (natürlich alle Adressen auf die entsprechende IPv6 adresse geändert sowie die IPv4 stacks überall deaktiviert.

    Nun allerdings geht nichts mehr sobald ich die IPSec Rules in der Firewall aktiviere. ohne IPSec ist eine Verbindung ohne Probleme möglich.

    Wireshark sagt: das egal in welche Richtung der Aufbau stattfinden soll zwar versucht wird eine SA auszuhandeln, die ISAKMP Packete kommen auch da an wo sie sollen allerdings passiert dann nichts mehr. Mir ist leider nicht klar warum das aushandeln der SA fehlschlägt

    Ich habe mit allen möglichen variationen der IPSec optionen herumgebastelt leider ohne Erfolg.

    um das noch hinzuzufügen Wireshark zeigt massiv viele ICMPv6 Packete an (Neighbor Advertisment)

    Ich bin für jede Idee dankbar, möglicherweise hat jemand ja einen Ansatzpunkt.
    Möglicherweise funktioniert IPSec mit IPv6 auch garnicht über die selben Mittel wie in einem IPv4 Netz....


    Grüße
    Malchio
    Donnerstag, 11. März 2010 12:57

Alle Antworten

  • Hi,

    die Frage ist und bleibt, können die Vyatta Router wirkilich native IPv6 routen (für IPSec). Ich kenne bisher keinen Router der das wirklich kann. 
    Gruß Ralph Andreas Altermann | Microsoft Partner Regional Technical Communities, Hamburg | Im April - 3.ter Microsoft Partner Stammtisch Hamburg | Anmeldung/Registrierung unter http://www.xing.com/net/mpshh
    Donnerstag, 11. März 2010 20:24
  • wenn sie es nicht könnten, dürfte doch die Anfrage nach der SA erst garnich durchgehn oder sehe ich das falsch
    Freitag, 12. März 2010 12:52
  • Hi Malchio

    was sagt das Microsoft IPsec Diagnostic Tool?

    Gruß
    Andrei

    Freitag, 19. März 2010 08:33
    Moderator