Moin,
hier sind doch sicher einige OpenVPN+Android-Experten.
Ich möchte gerne einen IPv6-only Tunnel zwischen einem „normalen“ OpenVPN-Server und einem durchschnittlichen Android Client haben.
Prinzipiell funktioniert das, leider aber blockt der Android-Client dann sämtlichen IPv4-Traffic, wenn er über den VPN-Server nur eine IPv6 Config bekommt.
Im OpenVPN-Client von Arne Schwabe gibt es eine extra Option, mit der ich das verhindern kann. Im „offiziellen“ Client habe ich das noch nicht gefunden. Gibt es dort sowas nicht?
Als Workaround pushe ich jetzt eine willkürliche IPv4 (ifconfig-push), das scheint zu helfen, ist aber blöd, ich will ja keinen Adresskonflikt provozieren.
Gibt es eine andere Möglichkeit, entweder als zu pushende Option, oder als fest in der Client-Config verdrahtet?
On Sun, Dec 12, 2021 at 12:14:35PM +0100, Heiko Schlittermann wrote:
Moin,
hier sind doch sicher einige OpenVPN+Android-Experten.
Ich möchte gerne einen IPv6-only Tunnel zwischen einem „normalen“ OpenVPN-Server und einem durchschnittlichen Android Client haben.
Laut https://community.openvpn.net/openvpn/ticket/208 ist das erst ab OpenVPN 2.5 möglich, was mit Debian 11 kommt.
Prinzipiell funktioniert das, leider aber blockt der Android-Client dann sämtlichen IPv4-Traffic, wenn er über den VPN-Server nur eine IPv6 Config bekommt.
Im OpenVPN-Client von Arne Schwabe gibt es eine extra Option, mit der ich das verhindern kann. Im „offiziellen“ Client habe ich das noch nicht gefunden. Gibt es dort sowas nicht?
Was ist der "offizielle Client"? Ich benutze den besagten https://github.com/schwabe/ics-openvpn und habe da diese extra Option nicht gefunden. Es steht, getrennt für das veraltete und das aktuelle IP-Protokoll, zur Auswahl, ob der Tunnel als Default Gateway benutzt werden soll oder nicht.
Als Workaround pushe ich jetzt eine willkürliche IPv4 (ifconfig-push), das scheint zu helfen, ist aber blöd, ich will ja keinen Adresskonflikt provozieren.
Da wäre es herauszufinden, ob die betreffenden Änderungen von OpenVPN 2.5 ihren Weg in den Android Client gefunden habe.
William Epler william.epler@globalfoundries.com (Mo 13 Dez 2021 13:26:20 CET):
On Sun, Dec 12, 2021 at 12:14:35PM +0100, Heiko Schlittermann wrote:
Ich möchte gerne einen IPv6-only Tunnel zwischen einem „normalen“ OpenVPN-Server und einem durchschnittlichen Android Client haben.
Laut https://community.openvpn.net/openvpn/ticket/208 ist das erst ab OpenVPN 2.5 möglich, was mit Debian 11 kommt.
Das ist erfüllt: OpenVPN 2.5.1 x86_64-pc-linux-gnu [SSL (OpenSSL)] [LZO] [LZ4] [EPOLL] [PKCS11] [MH/PKTINFO] [AEAD] built on May 14 2021
Im OpenVPN-Client von Arne Schwabe gibt es eine extra Option, mit der ich das verhindern kann. Im „offiziellen“ Client habe ich das noch nicht gefunden. Gibt es dort sowas nicht?
Was ist der "offizielle Client"? Ich benutze den besagten https://github.com/schwabe/ics-openvpn und habe da diese extra Option nicht gefunden. Es steht, getrennt für das veraltete und das aktuelle IP-Protokoll, zur Auswahl, ob der Tunnel als Default Gateway benutzt werden soll oder nicht.
https://photos.app.goo.gl/wUUoSjStrrfJWQx78
Als Workaround pushe ich jetzt eine willkürliche IPv4 (ifconfig-push), das scheint zu helfen, ist aber blöd, ich will ja keinen Adresskonflikt provozieren.
Da wäre es herauszufinden, ob die betreffenden Änderungen von OpenVPN 2.5 ihren Weg in den Android Client gefunden habe.
Schön wäre es, herauszufinden, ob ich diese (im Bild sichtbare Option) per „push“ an den Client senden kann.
Bzw. dass der Client sich *einfach so* so verhalten kann, wie *ich* es erwarte :)
Neue Erkenntnisse: egal ob ich den Schwab-Client oder den „offizielen“ verwende:
Das „push dhcp-option DNS x.x.x.x“ macht:
dev tun tls-server multihome server-ipv6 fd2a:XXXX:XXX:XXX::/64 + push "dhcp-option DNS x.x.x.x" ….
macht, dass es geht. Ohne diese Option trägt der Client eine Route auf 0.0.0.0 als unreachable ein, *mit* der o.a. DHCP-Option, passiert das nicht, und IPv4 kann wird „normal“ geroutet.
Meine Frage bleibt. Kann man dieses Routing-Verhalten pushen, denn jetzt einen DNS server zu pushen, erscheint mir fragwürdig, ich weiss ja nicht, ob der Client einen im internen Netz verwenden sollte. Bzw, eigentlich wöllte ich einen Verbindungsspezifischen DNS-Suffix auf dem Client verwenden, aber das ist eine andere Baustelle.
Best regards from Dresden/Germany Viele Grüße aus Dresden Heiko Schlittermann -- SCHLITTERMANN.de ---------------------------- internet & unix support - Heiko Schlittermann, Dipl.-Ing. (TU) - {fon,fax}: +49.351.802998{1,3} - gnupg encrypted messages are welcome --------------- key ID: F69376CE -
lug-dd@mailman.schlittermann.de
-
Heiko Schlittermann -
William Epler