Posts by johnassel

    Ich habe Probleme bei aktivem DNSSEC Wildcard-Subdomains aufzurufen. Die Hauptdomain funktioniert ohne Probleme, Subdomains über Wildcard (*.xyz.de) laufen bei mir aber nicht mehr, dig meldet SERVFAIL. Funktionieren Wildcards mit DNSSEC nicht?


    Edit: Es lag wohl an meinem Setup hier im Netzwerk, pfSense hatte sich irgendwo verschluckt - jetzt geht es plötzlich (?)

    Ja, bei meinem Fedora 23 habe ich das Problem auch ab und zu mal. Ab "Reached target Shutdown" Allerdings kann ich es nicht immer reproduzieren. Bei dir trat es immer auf? Den Weg über systemctl muss ich mal probieren und dann beobachten...

    Wie sieht das eigentlich mit Traffic aus, der intern im Netcup-Netz erzeugt wird? Also z.B. zwischen zwei vServern, zwischen zwei Webspaces, zwischen einem Webspace/einem vServer?
    Fließt der Traffic mit in die Berechnung ein oder zählt nur das, was das RZ auch wirklich verlässt?
    Edit: Scheinbar ist nur der Traffic, der das RZ verlässt relevant - ein Backup vServer > Webspace lief gerade ohne Probleme durch

    Oh, ja - das scheint es gewesen zu sein. Danke!
    Im tcpdump hätte man es auch sehen können. sofern man da mal reingeguckt hätte... m(

    Code
    1. 14:23:53.395101 IP6 2a03:4000:6:70a4:d00f::1000.51142 > redirector.heise.de.http: Flags [S], seq 1084223270, win 28800, options [mss 1287,sackOK,TS val 3960092 ecr 0,nop,wscale 7], length 0
    2. 14:23:53.396363 IP6 johnassel.de > 2a03:4000:6:70a4:d00f::1000: ICMP6, destination unreachable, unreachable address redirector.heise.de, length 88


    Somit scheint es zu laufen - mal gucken wie ich "ip -6 neigh add proxy 2a03:4000:6:70a4:d00f::1000 dev ens3" automatisiert bekomme - das ist im Moment noch sehr statisch und etwas unpraktisch das für jeden neuen Client von Hand zu machen. ;)

    Die Dinger sind ältere Überbleibsel und sollten gegen Scanner laufen (welche das genau waren weiß ich nicht mehr - damals habe ich nicht wirklich dokumentiert :whistling: )
    Selbst wenn ich beide Zeilen rausnehme hat es keine Wirkung. Einzig "ip6tables -P INPUT ACCEPT" scheint zu wirken. Aber das kann es nicht sein...

    Hmmm, die Regel scheint nichts zu verändern.
    Bei mir sieht es so aus:
    # Generated by ip6tables-save v1.4.21 on Sun Dec 6 13:52:27 2015
    *filter
    :INPUT DROP [0:0]
    :FORWARD ACCEPT [0:0]
    :OUTPUT ACCEPT [0:0]
    -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
    -A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
    -A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m limit --limit 50/min --limit-burst 200 -j ACCEPT
    -A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
    -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
    [weitere Portfreigaben]
    -A FORWARD -i tun0 -o ens3 -j ACCEPT
    -A FORWARD -i ens3 -o tun0 -j ACCEPT


    COMMIT
    # Completed on Sun Dec 6 13:52:27 2015

    Das Problem sind meine ip6tables-Regeln. Über Regeln wie
    "ip6tables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT" etc öffne ich die Ports die ich brauche nach außen.
    Alles andere wird gedroppt mit "ip6tables -P INPUT DROP".
    Mit "ip6tables -P INPUT ACCEPT" funktioniert es.
    "ip6tables -A INPUT -i ens3 -o tun0 -j ACCEPT" quittiert er mit "Can't use -o with INPUT". Vermutlich ist die Lösung sehr naheliegend, im Moment habe ich nur ein Brett vor dem Kopf. ;)

    Interessant - nach einem Reboot des Servers habe ich die Werte

    Code
    1. sysctl net.ipv6.conf.all.proxy_ndp=1
    2. ip -6 neigh add proxy 2a03:4000:6:70a4:d00f::1000 dev ens3


    neu gesetzt, (net.ipv6.conf.default.forwarding und net.ipv6.conf.all.forwarding waren schon aktiviert), und danach gingen Pings raus.
    Allerdings scheinen alle anderen Anwendungen IPv6 über den Tunnel zu ignorieren bzw bekommen ein "Permission denied"

    Quote

    wget -6 google.com
    --2015-12-06 09:46:31-- http://google.com/
    Resolving google.com (google.com)... 2a00:1450:4001:802::1008
    Connecting to google.com (google.com)|2a00:1450:4001:802::1008|:80... failed: Permission denied.
    Retrying.

    :O

    Bei mir sieht es so aus:
    Die unterstrichenen Einträge hatte ich aufs Gegenteil geändert, ohne Erfolg:


    net.ipv6.anycast_src_echo_reply = 0
    net.ipv6.auto_flowlabels = 0
    net.ipv6.bindv6only = 0
    net.ipv6.conf.all.accept_dad = 1
    net.ipv6.conf.all.accept_ra = 0
    net.ipv6.conf.all.accept_ra_defrtr = 1
    sysctl: net.ipv6.conf.all.accept_ra_from_local = 0
    net.ipv6.conf.all.accept_ra_mtu = 1
    net.ipv6.conf.all.accept_ra_pinfo = 1
    net.ipv6.conf.all.accept_ra_rt_info_max_plen = 0
    net.ipv6.conf.all.accept_ra_rtr_pref = 1
    net.ipv6.conf.all.accept_redirects = 0
    net.ipv6.conf.all.accept_source_route = 0
    net.ipv6.conf.all.autoconf = 1
    net.ipv6.conf.all.dad_transmits = 1
    net.ipv6.conf.all.disable_ipv6 = 0
    net.ipv6.conf.all.force_mld_version = 0
    net.ipv6.conf.all.force_tllao = 0
    net.ipv6.conf.all.forwarding = 1
    net.ipv6.conf.all.hop_limit = 64
    net.ipv6.conf.all.max_addresses = 16
    net.ipv6.conf.all.max_desync_factor = 600
    net.ipv6.conf.all.mc_forwarding = 0
    net.ipv6.conf.all.mldv1_unsolicited_report_interval = 10000
    net.ipv6.conf.all.mldv2_unsolicited_report_interval = 1000
    net.ipv6.conf.all.mtu = 1280
    net.ipv6.conf.all.ndisc_notify = 0
    net.ipv6.conf.all.optimistic_dad = 0
    net.ipv6.conf.all.proxy_ndp = 1
    net.ipv6.conf.all.regen_max_retry = 3
    net.ipv6.conf.all.router_probe_interval = 60
    net.ipv6.conf.all.router_solicitation_delay = 1
    net.ipv6.conf.all.router_solicitation_interval = 4
    net.ipv6.conf.all.router_solicitations = 3
    sysctl: net.ipv6.conf.all.suppress_frag_ndisc = 1
    net.ipv6.conf.all.temp_prefered_lft = 86400
    net.ipv6.conf.all.temp_valid_lft = 604800
    net.ipv6.conf.all.use_optimistic = 0
    net.ipv6.conf.all.use_tempaddr = 0
    net.ipv6.conf.default.accept_dad = 1
    net.ipv6.conf.default.accept_ra = 0
    net.ipv6.conf.default.accept_ra_defrtr = 1
    net.ipv6.conf.default.accept_ra_from_local = 0
    net.ipv6.conf.default.accept_ra_mtu = 1
    net.ipv6.conf.default.accept_ra_pinfo = 1
    net.ipv6.conf.default.accept_ra_rt_info_max_plen = 0
    net.ipv6.conf.default.accept_ra_rtr_pref = 1
    net.ipv6.conf.default.accept_redirects = 0
    net.ipv6.conf.default.accept_source_route = 0
    net.ipv6.conf.default.autoconf = 1
    net.ipv6.conf.default.dad_transmits = 1
    net.ipv6.conf.default.disable_ipv6 = 0
    net.ipv6.conf.default.force_mld_version = 0
    net.ipv6.conf.default.force_tllao = 0
    net.ipv6.conf.default.forwarding = 1
    net.ipv6.conf.default.hop_limit = 64
    net.ipv6.conf.default.max_addresses = 16
    net.ipv6.conf.default.max_desync_factor = 600
    net.ipv6.conf.default.mc_forwarding = 0
    net.ipv6.conf.default.mldv1_unsolicited_report_interval = 10000
    net.ipv6.conf.default.mldv2_unsolicited_report_interval = 1000
    net.ipv6.conf.default.mtu = 1280
    net.ipv6.conf.default.ndisc_notify = 0
    net.ipv6.conf.default.optimistic_dad = 0
    net.ipv6.conf.default.proxy_ndp = 0
    net.ipv6.conf.default.regen_max_retry = 3
    net.ipv6.conf.default.router_probe_interval = 60
    net.ipv6.conf.default.router_solicitation_delay = 1
    net.ipv6.conf.default.router_solicitation_interval = 4
    net.ipv6.conf.default.router_solicitations = 3
    reading key "net.ipv6.conf.default.stable_secret"
    net.ipv6.conf.default.suppress_frag_ndisc = 1
    net.ipv6.conf.default.temp_prefered_lft = 86400
    net.ipv6.conf.default.temp_valid_lft = 604800
    net.ipv6.conf.default.use_optimistic = 0
    net.ipv6.conf.default.use_tempaddr = 0


    net.ipv6.conf.ens3.accept_dad = 1
    sysctl: reading key "net.ipv6.conf.ens3.stable_secret"
    net.ipv6.conf.ens3.accept_ra = 0
    net.ipv6.conf.ens3.accept_ra_defrtr = 1
    net.ipv6.conf.ens3.accept_ra_from_local = 0
    net.ipv6.conf.ens3.accept_ra_mtu = 1
    net.ipv6.conf.ens3.accept_ra_pinfo = 1
    net.ipv6.conf.ens3.accept_ra_rt_info_max_plen = 0
    net.ipv6.conf.ens3.accept_ra_rtr_pref = 1
    net.ipv6.conf.ens3.accept_redirects = 0
    net.ipv6.conf.ens3.accept_source_route = 0
    net.ipv6.conf.ens3.autoconf = 0
    net.ipv6.conf.ens3.dad_transmits = 1
    net.ipv6.conf.ens3.disable_ipv6 = 0
    net.ipv6.conf.ens3.force_mld_version = 0
    net.ipv6.conf.ens3.force_tllao = 0
    net.ipv6.conf.ens3.forwarding = 1
    net.ipv6.conf.ens3.hop_limit = 64
    net.ipv6.conf.ens3.max_addresses = 16
    net.ipv6.conf.ens3.max_desync_factor = 600
    net.ipv6.conf.ens3.mc_forwarding = 0
    net.ipv6.conf.ens3.mldv1_unsolicited_report_interval = 10000
    net.ipv6.conf.ens3.mldv2_unsolicited_report_interval = 1000
    net.ipv6.conf.ens3.mtu = 1500
    net.ipv6.conf.ens3.ndisc_notify = 0
    net.ipv6.conf.ens3.optimistic_dad = 0
    net.ipv6.conf.ens3.proxy_ndp = 0
    net.ipv6.conf.ens3.regen_max_retry = 3
    net.ipv6.conf.ens3.router_probe_interval = 60
    net.ipv6.conf.ens3.router_solicitation_delay = 1
    net.ipv6.conf.ens3.router_solicitation_interval = 4
    net.ipv6.conf.ens3.router_solicitations = 3
    sysctl: reading key "net.ipv6.conf.lo.stable_secret"
    net.ipv6.conf.ens3.suppress_frag_ndisc = 1
    net.ipv6.conf.ens3.temp_prefered_lft = 86400
    net.ipv6.conf.ens3.temp_valid_lft = 604800
    net.ipv6.conf.ens3.use_optimistic = 0
    net.ipv6.conf.ens3.use_tempaddr = 0


    net.ipv6.conf.tap0.accept_dad = 1
    net.ipv6.conf.tap0.accept_ra = 0
    net.ipv6.conf.tap0.accept_ra_defrtr = 1
    net.ipv6.conf.tap0.accept_ra_from_local = 0
    net.ipv6.conf.tap0.accept_ra_mtu = 1
    net.ipv6.conf.tap0.accept_ra_pinfo = 1
    net.ipv6.conf.tap0.accept_ra_rt_info_max_plen = 0
    net.ipv6.conf.tap0.accept_ra_rtr_pref = 1
    net.ipv6.conf.tap0.accept_redirects = 0
    net.ipv6.conf.tap0.accept_source_route = 0
    net.ipv6.conf.tap0.autoconf = 1
    net.ipv6.conf.tap0.dad_transmits = 1
    net.ipv6.conf.tap0.disable_ipv6 = 0
    net.ipv6.conf.tap0.force_mld_version = 0
    net.ipv6.conf.tap0.force_tllao = 0
    net.ipv6.conf.tap0.forwarding = 1
    net.ipv6.conf.tap0.hop_limit = 64
    net.ipv6.conf.tap0.max_addresses = 16
    net.ipv6.conf.tap0.max_desync_factor = 600
    net.ipv6.conf.tap0.mc_forwarding = 0
    net.ipv6.conf.tap0.mldv1_unsolicited_report_interval = 10000
    net.ipv6.conf.tap0.mldv2_unsolicited_report_interval = 1000
    net.ipv6.conf.tap0.mtu = 1315
    net.ipv6.conf.tap0.ndisc_notify = 0
    net.ipv6.conf.tap0.optimistic_dad = 0
    net.ipv6.conf.tap0.proxy_ndp = 0
    net.ipv6.conf.tap0.regen_max_retry = 3
    net.ipv6.conf.tap0.router_probe_interval = 60
    net.ipv6.conf.tap0.router_solicitation_delay = 1
    net.ipv6.conf.tap0.router_solicitation_interval = 4
    net.ipv6.conf.tap0.router_solicitations = 3
    net.ipv6.conf.tap0.suppress_frag_ndisc = 1
    net.ipv6.conf.tap0.temp_prefered_lft = 86400
    net.ipv6.conf.tap0.temp_valid_lft = 604800
    net.ipv6.conf.tap0.use_optimistic = 0
    net.ipv6.conf.tap0.use_tempaddr = 0


    net.ipv6.flowlabel_consistency = 1
    net.ipv6.flowlabel_state_ranges = 1
    net.ipv6.fwmark_reflect = 0
    net.ipv6.icmp.ratelimit = 1000
    net.ipv6.idgen_delay = 1
    net.ipv6.idgen_retries = 3
    net.ipv6.ip6frag_high_thresh = 4194304
    net.ipv6.ip6frag_low_thresh = 3145728
    net.ipv6.ip6frag_secret_interval = 0
    net.ipv6.ip6frag_time = 60
    net.ipv6.mld_max_msf = 64
    net.ipv6.mld_qrv = 2
    net.ipv6.neigh.default.anycast_delay = 100
    net.ipv6.neigh.default.app_solicit = 0
    net.ipv6.neigh.default.base_reachable_time_ms = 30000
    net.ipv6.neigh.default.delay_first_probe_time = 5
    net.ipv6.neigh.default.gc_interval = 30
    net.ipv6.neigh.default.gc_stale_time = 60
    net.ipv6.neigh.default.gc_thresh1 = 128
    net.ipv6.neigh.default.gc_thresh2 = 512
    net.ipv6.neigh.default.gc_thresh3 = 1024
    net.ipv6.neigh.default.locktime = 0
    net.ipv6.neigh.default.mcast_resolicit = 0
    net.ipv6.neigh.default.mcast_solicit = 3
    net.ipv6.neigh.default.proxy_delay = 80
    net.ipv6.neigh.default.proxy_qlen = 64
    net.ipv6.neigh.default.retrans_time_ms = 1000
    net.ipv6.neigh.default.ucast_solicit = 3
    net.ipv6.neigh.default.unres_qlen = 31
    net.ipv6.neigh.default.unres_qlen_bytes = 65536
    net.ipv6.neigh.ens3.anycast_delay = 100
    net.ipv6.neigh.ens3.app_solicit = 0
    net.ipv6.neigh.ens3.base_reachable_time_ms = 30000
    net.ipv6.neigh.ens3.delay_first_probe_time = 5
    net.ipv6.neigh.ens3.gc_stale_time = 60
    net.ipv6.neigh.ens3.locktime = 0
    net.ipv6.neigh.ens3.mcast_resolicit = 0
    net.ipv6.neigh.ens3.mcast_solicit = 3
    net.ipv6.neigh.ens3.proxy_delay = 80
    net.ipv6.neigh.ens3.proxy_qlen = 64
    net.ipv6.neigh.ens3.retrans_time_ms = 1000
    net.ipv6.neigh.ens3.ucast_solicit = 3
    net.ipv6.neigh.ens3.unres_qlen = 31
    net.ipv6.neigh.ens3.unres_qlen_bytes = 65536


    net.ipv6.neigh.tap0.anycast_delay = 100
    net.ipv6.neigh.tap0.app_solicit = 0
    net.ipv6.neigh.tap0.base_reachable_time_ms = 30000
    net.ipv6.neigh.tap0.delay_first_probe_time = 5
    net.ipv6.neigh.tap0.gc_stale_time = 60
    net.ipv6.neigh.tap0.locktime = 0
    net.ipv6.neigh.tap0.mcast_resolicit = 0
    net.ipv6.neigh.tap0.mcast_solicit = 3
    net.ipv6.neigh.tap0.proxy_delay = 80
    net.ipv6.neigh.tap0.proxy_qlen = 64
    net.ipv6.neigh.tap0.retrans_time_ms = 1000
    net.ipv6.neigh.tap0.ucast_solicit = 3
    net.ipv6.neigh.tap0.unres_qlen = 31
    net.ipv6.neigh.tap0.unres_qlen_bytes = 65536
    net.ipv6.route.gc_elasticity = 9
    net.ipv6.route.gc_interval = 30
    net.ipv6.route.gc_min_interval = 0
    net.ipv6.route.gc_min_interval_ms = 500
    net.ipv6.route.gc_thresh = 1024
    net.ipv6.route.gc_timeout = 60
    net.ipv6.route.max_size = 4096
    net.ipv6.route.min_adv_mss = 1220
    net.ipv6.route.mtu_expires = 600
    net.ipv6.xfrm6_gc_thresh = 32768


    Ich habe auch keinen anderen Wert gesehen, der mir spontan ins Auge springen würde, der mit NDP zu tun hat und relevant sein könnte.

    Mit ping6 auf google.com von einem VPN-Client aus:


    tcpdump -i tap0 icmp6
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on tap0, link-type EN10MB (Ethernet), capture size 262144 bytes
    17:46:30.850508 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 16, length 64
    17:46:31.849496 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 17, length 64
    17:46:32.849944 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 18, length 64
    17:46:33.849644 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 19, length 64
    17:46:34.849367 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 20, length 64
    17:46:35.848815 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 21, length 64
    6 packets captured
    6 packets received by filter
    0 packets dropped by kernel


    tcpdump -i ens3 icmp6
    tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
    listening on ens3, link-type EN10MB (Ethernet), capture size 262144 bytes
    17:47:23.859551 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 69, length 64
    17:47:24.365155 IP6 fe80::f21c:2d00:6c7d:60c0 > ff02::1:ffd6:ca6: ICMP6, neighbor solicitation, who has 2a03:4000:6:7012:5054:24ff:fed6:ca6, length 32
    17:47:24.848137 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 70, length 64
    17:47:25.848584 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 71, length 64
    17:47:26.850453 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 72, length 64
    17:47:27.365456 IP6 fe80::f21c:2d00:6c7d:60c0 > ff02::1:ff00:1000: ICMP6, neighbor solicitation, who has 2a03:4000:6:70a4:d00f::1000, length 32
    17:47:27.849903 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 73, length 64
    17:47:28.209988 IP6 gateway > ff02::1:ffd6:ca6: ICMP6, neighbor solicitation, who has 2a03:4000:6:7012:5054:24ff:fed6:ca6, length 32
    17:47:28.365051 IP6 fe80::f21c:2d00:6c7d:60c0 > ff02::1:ff00:1000: ICMP6, neighbor solicitation, who has 2a03:4000:6:70a4:d00f::1000, length 32
    17:47:28.850009 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 74, length 64
    17:47:29.364036 IP6 fe80::f21c:2d00:6c7d:60c0 > ff02::1:ffd6:ca6: ICMP6, neighbor solicitation, who has 2a03:4000:6:7012:5054:24ff:fed6:ca6, length 32
    17:47:29.365185 IP6 fe80::f21c:2d00:6c7d:60c0 > ff02::1:ff00:1000: ICMP6, neighbor solicitation, who has 2a03:4000:6:70a4:d00f::1000, length 32


    12 packets captured
    21 packets received by filter
    0 packets dropped by kernel


    2a03:4000:6:70a4:d00f::1000 ist der VPN-Client
    2a03:4000:6:7012:5054:24ff:fed6:ca6, fe80::f21c:2d00:6c7d:60c0, ff02::1:ffd6:ca6 und ff02::1:ff00:1000 kann ich nicht zuordnen.
    fra07s29-in-x02.1e100.net ist google.com, müsste eigentlich auf 2a00:1450:4001:80b::1001 auflösen


    Für mich sieht es so aus, als würde keine Antwort von Google kommen?

    Hmm, so richtig will es noch nicht...
    Im Prinzip fehlten mir noch die NDP-Einträge über sysctl und ip und das TAP-Interface.
    Der Server selbst hatte eine eine IP (2a03:4000:6:70a4:d00f::1) als das öffentliche Interface (2a03:4000:6:70a4::1).
    Die IP-Tables-Regeln habe ich noch an das TAP-Interface angepasst (falls sie überhaupt benötigt werden?)
    (ip6tables -t filter -A FORWARD -i ens3 -o tap0 -j ACCEPT und ip6tables -t filter -A FORWARD -i tap0 -o ens3 -j ACCEPT) Trotzdem wird der Traffic noch nicht weitergeleitet.


    Ach, als OS läuft bei mir Fedora 23.

    Hallo,
    ich versuche gerade druch einen OpenVPN-Tunnel IPv6-Internettraffic zu tunneln. IPv4 funktioniert bereits, ich kann mich mit dem VPN-Server verbinden, Traffic ins Internet geht ab sofort durch den Tunnel mit dem vServer als Endpunkt.
    Da der Server auch über IPv6 erreichbar ist, ist mein nächster Schritt es auch mit IPv6 zu versuchen. Dazu wollte ich den IP-Adressbereich des Servers zu nutzen. Danach sah meine Config so aus:
    mode server
    tls-server
    script-security 2
    persist-key
    persist-tun
    user openvpn
    group openvpn

    server 192.168.23.0 255.255.255.0
    push "route 192.168.23.0 255.255.255.0"
    push "route 0.0.0.0 0.0.0.0"
    push "dhcp-option DNS 192.168.23.1"
    push "redirect-gateway local def1"


    server-ipv6 2a03:4000:6:70a4:d00f::/65
    #push "route-ipv6 2a03:4000:6:70a4::1/64"
    push "route-ipv6 2000::/3"
    #push "redirect-gateway-ipv6 def1"
    #ifconfig-ipv6 2a03:4000:6:70a4::1 2a03:4000:6:70a4::2

    client-to-client
    link-mtu 1432
    auth sha512
    float
    dev tun
    tun-ipv6
    push tun-ipv6
    proto udp
    port 1194
    keepalive 10 300
    dh dh.pem
    ca ca.crt
    cert server.crt
    key server.key
    verb 4


    Die IP-Konfiguration des Servers sieht so aus:
    ens3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
    inet 37.120.174.231 netmask 255.255.252.0 broadcast 37.120.175.255
    inet6 fe80::5054:bcff:fee7:8438 prefixlen 64 scopeid 0x20<link>
    inet6 2a03:4000:6:70a4::1 prefixlen 64 scopeid 0x0<global>
    ether 52:54:bc:e7:84:38 txqueuelen 1000 (Ethernet)
    RX packets 20772899 bytes 3890853827 (3.6 GiB)
    RX errors 0 dropped 0 overruns 0 frame 0
    TX packets 38293549 bytes 55792310043 (51.9 GiB)
    TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0


    Ich bekomme eine IPv6-IP auf dem VPN-Interface, kann den Server anpingen, aber ich erreiche keine IPv6-Hosts im Internet.
    Wo ist mein Denkfehler?
    Auch mit aktiviertem net.ipv6.conf.all.forwarding = 1 komme ich nicht weiter, sowie mit ip6tables-Regeln:
    ip6tables -A FORWARD -i tun0 -o ens3 -j ACCEPT
    ip6tables -A FORWARD -i ens3 -o tun0 -j ACCEPT
    Hat da jemand eine Idee, wo es haken könnte?

    Hmmm, also bei mir hat es zunächst nicht geklappt. Ich habe ein Token generiert, per QR-Code in Google-Authenticator eingefügt und am CCP abgemeldet.
    Nach Eingabe von Benutzername und Passwort fragt er ordnungsgemäß nach dem Token, leitet mich aber immer wieder mit "Benutzername und/oder Passwort ungültig" zum Login zurück. Erst nachdem ich ein neues Passwort ohne Zeichen wie *()} gesetzt hatte, funktionierte der Login auch mit Token.