VPN (L2TP/IPSec) via IPv6 nicht möglich bei DG

Zitat von glandulin

Die Ports 1701 und 500 sind in der Firewall freigegeben.

Was ist mit ESP?

Mit IOS kenne ich mich leider nicht aus. Keine Ahnung, ob deren VPN client ein IPv6 Problem hat. Aber vielleicht finden sich andere hier, die weiterhelfen können.

Ich setze mehrere IOS Geräte ein.

Diese bauen VPN Verbindungen, IKEv2, zu zwei verschiedenen Lancom Routern, via IPV6 auf.

Von welchem iOS sprechen wir hier, von dem aus Cuppertino oder dem richtigen?

ich hatte verstanden, dass das Betriebssystem von Apple gemeint sei.

ich habe das mit preshared Keys realisiert, es wäre auch möglich mit Zertifikaten zu arbeiten, das war mir aber zu umständlich.

In meinen Routern war es kein Problem die Gegenstellen anzulegen, die Lancom Router bieten dazu Assistenten, die das erledigen. Lt. Lancom ist bei Verwendung von IPV6 nur eine IKEv2 Verbindung eine stabile Lösung.

Zitat von glandulin

Sorry, ich spreche von iOS (iPhone).

Alles in Ordnung, manchmal muss ich einfach nachfragen. So wie ich das verstehe, wirst Du um IKEv2 nicht herumkommen.

Im Prinzip sind Zertifikate kein Hexenwerk, es wird leider sehr häufig als Mysterium dargestellt und viele Anleitungen strotzen vor Halbwissen und unreflektiertem Abschreiben.

Meines Erachtens ist folgendes wichtig zu wissen:

• Die Zertifikatkette muss vollständig sein (also die Zertifikate der Root-CA und Issuing-CA müssen im Zertifikatstore hinterlegt sein).
• Der Common Name (CN) muss zwingend auch als Subject Alternate Name (SAN) im Zertifikat vorkommen
• Private Key und Certificates Signing Requests (CSR) haben kein Ablaufdatum.
• Viele Appliances können mit passwortgeschütztem private Key nicht umgehen.
• Der private Key gehört gesichert und vor Zugriffen Dritter geschützt aufbewahrt. Im Idealfall besitzt der PK ein Passwort.
• Wenn das ausgestellte Zertifikat abläuft, reicht es aus, den "alten" CSR bei einer CA erneut einzureichen. Damit braucht nur das abgelaufene Zertifikat durch das neue ersetzt werden.

Von self-signed Zertifikaten rate ich ab. Es sei denn in vollständig isolierten Laborumgebungen. Let's encrypt ist in sehr vielen Fällen (leider nicht in allen) eine gute Alternative.

Meine Clients sind iOS , iPhone und iPad.

Ich verwende Shared Secrets, für mein Verständnis sind das preshared keys.

Wenn nicht, mag man mich korrigieren.

Wenn ich neues Profil anlege, und Anmeldeinformationen Benutzer angebe kann ich als Pasword den PreShared Key eingeben

glandulin ich persönlich mag keine Apple Betriebsysteme, kenne mich daher mit deren Möglichkeiten nicht aus.

Um let's encrypt ist ein umfangreiches Tool-Universum entstanden, evtl. gibt es auch da etwas für die Äpfelchen.

Überschätze da mal Windows nicht, bis heute habe ich keine Möglichkeit gefunden, wie man unter einem Windows Server OS den private Key mit einem Passwort versehen kann. Export als pfx zählt nicht, da da nur der Container mit einem Passwort versehen wird (ähnlich einem passwortgeschütztem ZIP File).

Also ich nutze Wireguard auf dem iPhone als auch auf dem Macbook.

Funktioniert meiner Meinung nach sehr gut.

Habe heute bei einem Bekannten einen Glasfaser Anschluss in Betrieb genommen, und konnte von meinem Heimnetzwerk Daten mit 140Mbit /s herunterladen.

Ich habe einen 400/200 Anschluss von DG..