Beiträge von johnassel

Auf welchem Port kommen die Anfragen rein?

Versuche mal /dev/vda1 zu mounten. vda2 ist nach fdisk dein Swap, nicht deine Root-Partition.

Ich habe Probleme bei aktivem DNSSEC Wildcard-Subdomains aufzurufen. Die Hauptdomain funktioniert ohne Probleme, Subdomains über Wildcard (*.xyz.de) laufen bei mir aber nicht mehr, dig meldet SERVFAIL. Funktionieren Wildcards mit DNSSEC nicht?

Edit: Es lag wohl an meinem Setup hier im Netzwerk, pfSense hatte sich irgendwo verschluckt - jetzt geht es plötzlich (?)

Ja, bei meinem Fedora 23 habe ich das Problem auch ab und zu mal. Ab "Reached target Shutdown" Allerdings kann ich es nicht immer reproduzieren. Bei dir trat es immer auf? Den Weg über systemctl muss ich mal probieren und dann beobachten...

Kommst du an den alten Server noch dran? Ansonsten mal mit Gparted live booten, dann solltest du die Partition ändern können.
Du kannst es auch lokal durchführen.

Schade, "Operation not supported" auf nem 6er. Wäre auch zu schön gewesen

Würde "discard" auch bei HDD-KVM-Servern funktionieren?
Ich meine, der Nebeneffekt mit der "Nebeneffekt" mit der Defragmentierung ist doch nicht schlecht.

Wie sieht das eigentlich mit Traffic aus, der intern im Netcup-Netz erzeugt wird? Also z.B. zwischen zwei vServern, zwischen zwei Webspaces, zwischen einem Webspace/einem vServer?
Fließt der Traffic mit in die Berechnung ein oder zählt nur das, was das RZ auch wirklich verlässt?
Edit: Scheinbar ist nur der Traffic, der das RZ verlässt relevant - ein Backup vServer > Webspace lief gerade ohne Probleme durch

Wird es den Tarif nochmal ohne bevorzugte Bereitstellung geben? Oder sollte man dort besser jetzt zuschlagen?

Oh, ja - das scheint es gewesen zu sein. Danke!
Im tcpdump hätte man es auch sehen können. sofern man da mal reingeguckt hätte... m(

14:23:53.395101 IP6 2a03:4000:6:70a4:d00f::1000.51142 > redirector.heise.de.http: Flags [S], seq 1084223270, win 28800, options [mss 1287,sackOK,TS val 3960092 ecr 0,nop,wscale 7], length 0
14:23:53.396363 IP6 johnassel.de > 2a03:4000:6:70a4:d00f::1000: ICMP6, destination unreachable, unreachable address redirector.heise.de, length 88

Somit scheint es zu laufen - mal gucken wie ich "ip -6 neigh add proxy 2a03:4000:6:70a4:d00f::1000 dev ens3" automatisiert bekomme - das ist im Moment noch sehr statisch und etwas unpraktisch das für jeden neuen Client von Hand zu machen.

Die Dinger sind ältere Überbleibsel und sollten gegen Scanner laufen (welche das genau waren weiß ich nicht mehr - damals habe ich nicht wirklich dokumentiert )
Selbst wenn ich beide Zeilen rausnehme hat es keine Wirkung. Einzig "ip6tables -P INPUT ACCEPT" scheint zu wirken. Aber das kann es nicht sein...

Hmmm, die Regel scheint nichts zu verändern.
Bei mir sieht es so aus:
# Generated by ip6tables-save v1.4.21 on Sun Dec 6 13:52:27 2015
*filter
:INPUT DROP [0:0]
:FORWARD ACCEPT [0:0]
:OUTPUT ACCEPT [0:0]
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A INPUT -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A INPUT -p tcp -m tcp --dport 80 -m state --state NEW -m limit --limit 50/min --limit-burst 200 -j ACCEPT
-A INPUT -m state --state RELATED,ESTABLISHED -j ACCEPT
-A INPUT -p tcp -m tcp --dport 22 -j ACCEPT
[weitere Portfreigaben]
-A FORWARD -i tun0 -o ens3 -j ACCEPT
-A FORWARD -i ens3 -o tun0 -j ACCEPT

COMMIT
# Completed on Sun Dec 6 13:52:27 2015

Das Problem sind meine ip6tables-Regeln. Über Regeln wie
"ip6tables -A INPUT -p tcp -m tcp --dport 22 -j ACCEPT" etc öffne ich die Ports die ich brauche nach außen.
Alles andere wird gedroppt mit "ip6tables -P INPUT DROP".
Mit "ip6tables -P INPUT ACCEPT" funktioniert es.
"ip6tables -A INPUT -i ens3 -o tun0 -j ACCEPT" quittiert er mit "Can't use -o with INPUT". Vermutlich ist die Lösung sehr naheliegend, im Moment habe ich nur ein Brett vor dem Kopf.

Interessant - nach einem Reboot des Servers habe ich die Werte

sysctl net.ipv6.conf.all.proxy_ndp=1
ip -6 neigh add proxy 2a03:4000:6:70a4:d00f::1000 dev ens3

neu gesetzt, (net.ipv6.conf.default.forwarding und net.ipv6.conf.all.forwarding waren schon aktiviert), und danach gingen Pings raus.
Allerdings scheinen alle anderen Anwendungen IPv6 über den Tunnel zu ignorieren bzw bekommen ein "Permission denied"

Zitat

wget -6 google.com
--2015-12-06 09:46:31-- http://google.com/
Resolving google.com (google.com)... 2a00:1450:4001:802::1008
Connecting to google.com (google.com)|2a00:1450:4001:802::1008|:80... failed: Permission denied.
Retrying.

:O

Bei mir sieht es so aus:
Die unterstrichenen Einträge hatte ich aufs Gegenteil geändert, ohne Erfolg:

net.ipv6.anycast_src_echo_reply = 0
net.ipv6.auto_flowlabels = 0
net.ipv6.bindv6only = 0
net.ipv6.conf.all.accept_dad = 1
net.ipv6.conf.all.accept_ra = 0
net.ipv6.conf.all.accept_ra_defrtr = 1
sysctl: net.ipv6.conf.all.accept_ra_from_local = 0
net.ipv6.conf.all.accept_ra_mtu = 1
net.ipv6.conf.all.accept_ra_pinfo = 1
net.ipv6.conf.all.accept_ra_rt_info_max_plen = 0
net.ipv6.conf.all.accept_ra_rtr_pref = 1
net.ipv6.conf.all.accept_redirects = 0
net.ipv6.conf.all.accept_source_route = 0
net.ipv6.conf.all.autoconf = 1
net.ipv6.conf.all.dad_transmits = 1
net.ipv6.conf.all.disable_ipv6 = 0
net.ipv6.conf.all.force_mld_version = 0
net.ipv6.conf.all.force_tllao = 0
net.ipv6.conf.all.forwarding = 1
net.ipv6.conf.all.hop_limit = 64
net.ipv6.conf.all.max_addresses = 16
net.ipv6.conf.all.max_desync_factor = 600
net.ipv6.conf.all.mc_forwarding = 0
net.ipv6.conf.all.mldv1_unsolicited_report_interval = 10000
net.ipv6.conf.all.mldv2_unsolicited_report_interval = 1000
net.ipv6.conf.all.mtu = 1280
net.ipv6.conf.all.ndisc_notify = 0
net.ipv6.conf.all.optimistic_dad = 0
net.ipv6.conf.all.proxy_ndp = 1
net.ipv6.conf.all.regen_max_retry = 3
net.ipv6.conf.all.router_probe_interval = 60
net.ipv6.conf.all.router_solicitation_delay = 1
net.ipv6.conf.all.router_solicitation_interval = 4
net.ipv6.conf.all.router_solicitations = 3
sysctl: net.ipv6.conf.all.suppress_frag_ndisc = 1
net.ipv6.conf.all.temp_prefered_lft = 86400
net.ipv6.conf.all.temp_valid_lft = 604800
net.ipv6.conf.all.use_optimistic = 0
net.ipv6.conf.all.use_tempaddr = 0
net.ipv6.conf.default.accept_dad = 1
net.ipv6.conf.default.accept_ra = 0
net.ipv6.conf.default.accept_ra_defrtr = 1
net.ipv6.conf.default.accept_ra_from_local = 0
net.ipv6.conf.default.accept_ra_mtu = 1
net.ipv6.conf.default.accept_ra_pinfo = 1
net.ipv6.conf.default.accept_ra_rt_info_max_plen = 0
net.ipv6.conf.default.accept_ra_rtr_pref = 1
net.ipv6.conf.default.accept_redirects = 0
net.ipv6.conf.default.accept_source_route = 0
net.ipv6.conf.default.autoconf = 1
net.ipv6.conf.default.dad_transmits = 1
net.ipv6.conf.default.disable_ipv6 = 0
net.ipv6.conf.default.force_mld_version = 0
net.ipv6.conf.default.force_tllao = 0
net.ipv6.conf.default.forwarding = 1
net.ipv6.conf.default.hop_limit = 64
net.ipv6.conf.default.max_addresses = 16
net.ipv6.conf.default.max_desync_factor = 600
net.ipv6.conf.default.mc_forwarding = 0
net.ipv6.conf.default.mldv1_unsolicited_report_interval = 10000
net.ipv6.conf.default.mldv2_unsolicited_report_interval = 1000
net.ipv6.conf.default.mtu = 1280
net.ipv6.conf.default.ndisc_notify = 0
net.ipv6.conf.default.optimistic_dad = 0
net.ipv6.conf.default.proxy_ndp = 0
net.ipv6.conf.default.regen_max_retry = 3
net.ipv6.conf.default.router_probe_interval = 60
net.ipv6.conf.default.router_solicitation_delay = 1
net.ipv6.conf.default.router_solicitation_interval = 4
net.ipv6.conf.default.router_solicitations = 3
reading key "net.ipv6.conf.default.stable_secret"
net.ipv6.conf.default.suppress_frag_ndisc = 1
net.ipv6.conf.default.temp_prefered_lft = 86400
net.ipv6.conf.default.temp_valid_lft = 604800
net.ipv6.conf.default.use_optimistic = 0
net.ipv6.conf.default.use_tempaddr = 0

net.ipv6.conf.ens3.accept_dad = 1
sysctl: reading key "net.ipv6.conf.ens3.stable_secret"
net.ipv6.conf.ens3.accept_ra = 0
net.ipv6.conf.ens3.accept_ra_defrtr = 1
net.ipv6.conf.ens3.accept_ra_from_local = 0
net.ipv6.conf.ens3.accept_ra_mtu = 1
net.ipv6.conf.ens3.accept_ra_pinfo = 1
net.ipv6.conf.ens3.accept_ra_rt_info_max_plen = 0
net.ipv6.conf.ens3.accept_ra_rtr_pref = 1
net.ipv6.conf.ens3.accept_redirects = 0
net.ipv6.conf.ens3.accept_source_route = 0
net.ipv6.conf.ens3.autoconf = 0
net.ipv6.conf.ens3.dad_transmits = 1
net.ipv6.conf.ens3.disable_ipv6 = 0
net.ipv6.conf.ens3.force_mld_version = 0
net.ipv6.conf.ens3.force_tllao = 0
net.ipv6.conf.ens3.forwarding = 1
net.ipv6.conf.ens3.hop_limit = 64
net.ipv6.conf.ens3.max_addresses = 16
net.ipv6.conf.ens3.max_desync_factor = 600
net.ipv6.conf.ens3.mc_forwarding = 0
net.ipv6.conf.ens3.mldv1_unsolicited_report_interval = 10000
net.ipv6.conf.ens3.mldv2_unsolicited_report_interval = 1000
net.ipv6.conf.ens3.mtu = 1500
net.ipv6.conf.ens3.ndisc_notify = 0
net.ipv6.conf.ens3.optimistic_dad = 0
net.ipv6.conf.ens3.proxy_ndp = 0
net.ipv6.conf.ens3.regen_max_retry = 3
net.ipv6.conf.ens3.router_probe_interval = 60
net.ipv6.conf.ens3.router_solicitation_delay = 1
net.ipv6.conf.ens3.router_solicitation_interval = 4
net.ipv6.conf.ens3.router_solicitations = 3
sysctl: reading key "net.ipv6.conf.lo.stable_secret"
net.ipv6.conf.ens3.suppress_frag_ndisc = 1
net.ipv6.conf.ens3.temp_prefered_lft = 86400
net.ipv6.conf.ens3.temp_valid_lft = 604800
net.ipv6.conf.ens3.use_optimistic = 0
net.ipv6.conf.ens3.use_tempaddr = 0

net.ipv6.conf.tap0.accept_dad = 1
net.ipv6.conf.tap0.accept_ra = 0
net.ipv6.conf.tap0.accept_ra_defrtr = 1
net.ipv6.conf.tap0.accept_ra_from_local = 0
net.ipv6.conf.tap0.accept_ra_mtu = 1
net.ipv6.conf.tap0.accept_ra_pinfo = 1
net.ipv6.conf.tap0.accept_ra_rt_info_max_plen = 0
net.ipv6.conf.tap0.accept_ra_rtr_pref = 1
net.ipv6.conf.tap0.accept_redirects = 0
net.ipv6.conf.tap0.accept_source_route = 0
net.ipv6.conf.tap0.autoconf = 1
net.ipv6.conf.tap0.dad_transmits = 1
net.ipv6.conf.tap0.disable_ipv6 = 0
net.ipv6.conf.tap0.force_mld_version = 0
net.ipv6.conf.tap0.force_tllao = 0
net.ipv6.conf.tap0.forwarding = 1
net.ipv6.conf.tap0.hop_limit = 64
net.ipv6.conf.tap0.max_addresses = 16
net.ipv6.conf.tap0.max_desync_factor = 600
net.ipv6.conf.tap0.mc_forwarding = 0
net.ipv6.conf.tap0.mldv1_unsolicited_report_interval = 10000
net.ipv6.conf.tap0.mldv2_unsolicited_report_interval = 1000
net.ipv6.conf.tap0.mtu = 1315
net.ipv6.conf.tap0.ndisc_notify = 0
net.ipv6.conf.tap0.optimistic_dad = 0
net.ipv6.conf.tap0.proxy_ndp = 0
net.ipv6.conf.tap0.regen_max_retry = 3
net.ipv6.conf.tap0.router_probe_interval = 60
net.ipv6.conf.tap0.router_solicitation_delay = 1
net.ipv6.conf.tap0.router_solicitation_interval = 4
net.ipv6.conf.tap0.router_solicitations = 3
net.ipv6.conf.tap0.suppress_frag_ndisc = 1
net.ipv6.conf.tap0.temp_prefered_lft = 86400
net.ipv6.conf.tap0.temp_valid_lft = 604800
net.ipv6.conf.tap0.use_optimistic = 0
net.ipv6.conf.tap0.use_tempaddr = 0

net.ipv6.flowlabel_consistency = 1
net.ipv6.flowlabel_state_ranges = 1
net.ipv6.fwmark_reflect = 0
net.ipv6.icmp.ratelimit = 1000
net.ipv6.idgen_delay = 1
net.ipv6.idgen_retries = 3
net.ipv6.ip6frag_high_thresh = 4194304
net.ipv6.ip6frag_low_thresh = 3145728
net.ipv6.ip6frag_secret_interval = 0
net.ipv6.ip6frag_time = 60
net.ipv6.mld_max_msf = 64
net.ipv6.mld_qrv = 2
net.ipv6.neigh.default.anycast_delay = 100
net.ipv6.neigh.default.app_solicit = 0
net.ipv6.neigh.default.base_reachable_time_ms = 30000
net.ipv6.neigh.default.delay_first_probe_time = 5
net.ipv6.neigh.default.gc_interval = 30
net.ipv6.neigh.default.gc_stale_time = 60
net.ipv6.neigh.default.gc_thresh1 = 128
net.ipv6.neigh.default.gc_thresh2 = 512
net.ipv6.neigh.default.gc_thresh3 = 1024
net.ipv6.neigh.default.locktime = 0
net.ipv6.neigh.default.mcast_resolicit = 0
net.ipv6.neigh.default.mcast_solicit = 3
net.ipv6.neigh.default.proxy_delay = 80
net.ipv6.neigh.default.proxy_qlen = 64
net.ipv6.neigh.default.retrans_time_ms = 1000
net.ipv6.neigh.default.ucast_solicit = 3
net.ipv6.neigh.default.unres_qlen = 31
net.ipv6.neigh.default.unres_qlen_bytes = 65536
net.ipv6.neigh.ens3.anycast_delay = 100
net.ipv6.neigh.ens3.app_solicit = 0
net.ipv6.neigh.ens3.base_reachable_time_ms = 30000
net.ipv6.neigh.ens3.delay_first_probe_time = 5
net.ipv6.neigh.ens3.gc_stale_time = 60
net.ipv6.neigh.ens3.locktime = 0
net.ipv6.neigh.ens3.mcast_resolicit = 0
net.ipv6.neigh.ens3.mcast_solicit = 3
net.ipv6.neigh.ens3.proxy_delay = 80
net.ipv6.neigh.ens3.proxy_qlen = 64
net.ipv6.neigh.ens3.retrans_time_ms = 1000
net.ipv6.neigh.ens3.ucast_solicit = 3
net.ipv6.neigh.ens3.unres_qlen = 31
net.ipv6.neigh.ens3.unres_qlen_bytes = 65536

net.ipv6.neigh.tap0.anycast_delay = 100
net.ipv6.neigh.tap0.app_solicit = 0
net.ipv6.neigh.tap0.base_reachable_time_ms = 30000
net.ipv6.neigh.tap0.delay_first_probe_time = 5
net.ipv6.neigh.tap0.gc_stale_time = 60
net.ipv6.neigh.tap0.locktime = 0
net.ipv6.neigh.tap0.mcast_resolicit = 0
net.ipv6.neigh.tap0.mcast_solicit = 3
net.ipv6.neigh.tap0.proxy_delay = 80
net.ipv6.neigh.tap0.proxy_qlen = 64
net.ipv6.neigh.tap0.retrans_time_ms = 1000
net.ipv6.neigh.tap0.ucast_solicit = 3
net.ipv6.neigh.tap0.unres_qlen = 31
net.ipv6.neigh.tap0.unres_qlen_bytes = 65536
net.ipv6.route.gc_elasticity = 9
net.ipv6.route.gc_interval = 30
net.ipv6.route.gc_min_interval = 0
net.ipv6.route.gc_min_interval_ms = 500
net.ipv6.route.gc_thresh = 1024
net.ipv6.route.gc_timeout = 60
net.ipv6.route.max_size = 4096
net.ipv6.route.min_adv_mss = 1220
net.ipv6.route.mtu_expires = 600
net.ipv6.xfrm6_gc_thresh = 32768

Ich habe auch keinen anderen Wert gesehen, der mir spontan ins Auge springen würde, der mit NDP zu tun hat und relevant sein könnte.

Mit ping6 auf google.com von einem VPN-Client aus:

tcpdump -i tap0 icmp6
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tap0, link-type EN10MB (Ethernet), capture size 262144 bytes
17:46:30.850508 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 16, length 64
17:46:31.849496 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 17, length 64
17:46:32.849944 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 18, length 64
17:46:33.849644 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 19, length 64
17:46:34.849367 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 20, length 64
17:46:35.848815 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 21, length 64
6 packets captured
6 packets received by filter
0 packets dropped by kernel

tcpdump -i ens3 icmp6
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on ens3, link-type EN10MB (Ethernet), capture size 262144 bytes
17:47:23.859551 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 69, length 64
17:47:24.365155 IP6 fe80::f21c:2d00:6c7d:60c0 > ff02::1:ffd6:ca6: ICMP6, neighbor solicitation, who has 2a03:4000:6:7012:5054:24ff:fed6:ca6, length 32
17:47:24.848137 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 70, length 64
17:47:25.848584 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 71, length 64
17:47:26.850453 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 72, length 64
17:47:27.365456 IP6 fe80::f21c:2d00:6c7d:60c0 > ff02::1:ff00:1000: ICMP6, neighbor solicitation, who has 2a03:4000:6:70a4:d00f::1000, length 32
17:47:27.849903 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 73, length 64
17:47:28.209988 IP6 gateway > ff02::1:ffd6:ca6: ICMP6, neighbor solicitation, who has 2a03:4000:6:7012:5054:24ff:fed6:ca6, length 32
17:47:28.365051 IP6 fe80::f21c:2d00:6c7d:60c0 > ff02::1:ff00:1000: ICMP6, neighbor solicitation, who has 2a03:4000:6:70a4:d00f::1000, length 32
17:47:28.850009 IP6 2a03:4000:6:70a4:d00f::1000 > fra07s29-in-x02.1e100.net: ICMP6, echo request, seq 74, length 64
17:47:29.364036 IP6 fe80::f21c:2d00:6c7d:60c0 > ff02::1:ffd6:ca6: ICMP6, neighbor solicitation, who has 2a03:4000:6:7012:5054:24ff:fed6:ca6, length 32
17:47:29.365185 IP6 fe80::f21c:2d00:6c7d:60c0 > ff02::1:ff00:1000: ICMP6, neighbor solicitation, who has 2a03:4000:6:70a4:d00f::1000, length 32

12 packets captured
21 packets received by filter
0 packets dropped by kernel

2a03:4000:6:70a4:d00f::1000 ist der VPN-Client
2a03:4000:6:7012:5054:24ff:fed6:ca6, fe80::f21c:2d00:6c7d:60c0, ff02::1:ffd6:ca6 und ff02::1:ff00:1000 kann ich nicht zuordnen.
fra07s29-in-x02.1e100.net ist google.com, müsste eigentlich auf 2a00:1450:4001:80b::1001 auflösen

Für mich sieht es so aus, als würde keine Antwort von Google kommen?

Hmm, so richtig will es noch nicht...
Im Prinzip fehlten mir noch die NDP-Einträge über sysctl und ip und das TAP-Interface.
Der Server selbst hatte eine eine IP (2a03:4000:6:70a4:d00f::1) als das öffentliche Interface (2a03:4000:6:70a4::1).
Die IP-Tables-Regeln habe ich noch an das TAP-Interface angepasst (falls sie überhaupt benötigt werden?)
(ip6tables -t filter -A FORWARD -i ens3 -o tap0 -j ACCEPT und ip6tables -t filter -A FORWARD -i tap0 -o ens3 -j ACCEPT) Trotzdem wird der Traffic noch nicht weitergeleitet.

Ach, als OS läuft bei mir Fedora 23.

Zitat

Andreas: IPv6 kennt kein NAT!

Das ist ein normales Vorgehen, dass man bei IPv6 global gültige Adressen im VPN verwendet. Mache ich bei meinem Tunnel ebenfalls so.

MfG Christian

Alles anzeigen

Ist das auch nen OpenVPN? Läuft es bei dir?

Hallo,
ich versuche gerade druch einen OpenVPN-Tunnel IPv6-Internettraffic zu tunneln. IPv4 funktioniert bereits, ich kann mich mit dem VPN-Server verbinden, Traffic ins Internet geht ab sofort durch den Tunnel mit dem vServer als Endpunkt.
Da der Server auch über IPv6 erreichbar ist, ist mein nächster Schritt es auch mit IPv6 zu versuchen. Dazu wollte ich den IP-Adressbereich des Servers zu nutzen. Danach sah meine Config so aus:
mode server
tls-server
script-security 2
persist-key
persist-tun
user openvpn
group openvpn

server 192.168.23.0 255.255.255.0
push "route 192.168.23.0 255.255.255.0"
push "route 0.0.0.0 0.0.0.0"
push "dhcp-option DNS 192.168.23.1"
push "redirect-gateway local def1"

server-ipv6 2a03:4000:6:70a4:d00f::/65
#push "route-ipv6 2a03:4000:6:70a4::1/64"
push "route-ipv6 2000::/3"
#push "redirect-gateway-ipv6 def1"
#ifconfig-ipv6 2a03:4000:6:70a4::1 2a03:4000:6:70a4::2

client-to-client
link-mtu 1432
auth sha512
float
dev tun
tun-ipv6
push tun-ipv6
proto udp
port 1194
keepalive 10 300
dh dh.pem
ca ca.crt
cert server.crt
key server.key
verb 4

Die IP-Konfiguration des Servers sieht so aus:
ens3: flags=4163<UP,BROADCAST,RUNNING,MULTICAST> mtu 1500
inet 37.120.174.231 netmask 255.255.252.0 broadcast 37.120.175.255
inet6 fe80::5054:bcff:fee7:8438 prefixlen 64 scopeid 0x20<link>
inet6 2a03:4000:6:70a4::1 prefixlen 64 scopeid 0x0<global>
ether 52:54:bc:e7:84:38 txqueuelen 1000 (Ethernet)
RX packets 20772899 bytes 3890853827 (3.6 GiB)
RX errors 0 dropped 0 overruns 0 frame 0
TX packets 38293549 bytes 55792310043 (51.9 GiB)
TX errors 0 dropped 0 overruns 0 carrier 0 collisions 0

Ich bekomme eine IPv6-IP auf dem VPN-Interface, kann den Server anpingen, aber ich erreiche keine IPv6-Hosts im Internet.
Wo ist mein Denkfehler?
Auch mit aktiviertem net.ipv6.conf.all.forwarding = 1 komme ich nicht weiter, sowie mit ip6tables-Regeln:
ip6tables -A FORWARD -i tun0 -o ens3 -j ACCEPT
ip6tables -A FORWARD -i ens3 -o tun0 -j ACCEPT
Hat da jemand eine Idee, wo es haken könnte?

Hmmm, also bei mir hat es zunächst nicht geklappt. Ich habe ein Token generiert, per QR-Code in Google-Authenticator eingefügt und am CCP abgemeldet.
Nach Eingabe von Benutzername und Passwort fragt er ordnungsgemäß nach dem Token, leitet mich aber immer wieder mit "Benutzername und/oder Passwort ungültig" zum Login zurück. Erst nachdem ich ein neues Passwort ohne Zeichen wie *()} gesetzt hatte, funktionierte der Login auch mit Token.