VPN: IPV6 Leak [gelöst]
Re: VPN: IPV6 Leak
Sehe ich ganz genau so, dennoch ist das Verhalten exakt wie ich es beschrieben habe:
1. Nach dem Booten google.com besuchen: deutsche Seite
2. "sysctl -p"
3. google.com neu laden: isländische Seite (das steht mein VPN)
Wie kann das sein??
1. Nach dem Booten google.com besuchen: deutsche Seite
2. "sysctl -p"
3. google.com neu laden: isländische Seite (das steht mein VPN)
Wie kann das sein??
Re: VPN: IPV6 Leak
Hast Du evtl. eine Konfiguration die erst nach dem Booten eine sysctl-relevante Einstellung/Konfiguration generiert, die das deaktivieren von IPv6 via sysctl unwirksam macht? ... und die etwas mit ipv6-Routing (oder gleichwertig) zu tun hat?_ash hat geschrieben:29.12.2019 10:56:472. "sysctl -p"
3. google.com neu laden: isländische Seite (das steht mein VPN)
Wie kann das sein??
Wenn nicht, dann ist das ein bug.
Re: VPN: IPV6 Leak
Zumindest nicht bewusst. Könnte der Network-Manager hier eine Rolle spielen? Oder ufw?mat6937 hat geschrieben:29.12.2019 11:05:24Hast Du evtl. eine Konfiguration die erst nach dem Booten eine sysctl-relevante Einstellung/Konfiguration generiert, die das deaktivieren von IPv6 via sysctl unwirksam macht? ... und die etwas mit ipv6-Routing (oder gleichwertig) zu tun hat?
Wenn nicht, dann ist das ein bug.
Ich habe das gleiche Verhalten übrigens auf 2 Rechners, meinem Desktop und meinem Laptop - das spricht vll für eine config Sache.
Re: VPN: IPV6 Leak
Ja, dem traue ich so etwas zu. BTW: Ich benutze den NM schon lange nicht mehr.
Re: VPN: IPV6 Leak
Was benutzt Du stattdessen? Oder könnte es an ufw liegen?
Ideen, wie ich den Fehler überhaupt finden könnte?
Re: VPN: IPV6 Leak
Ich benutze systemd-networkd und service-units. ufw habe ich nie benutzt. Wenn erforderlich, dann eigene iptables-Regeln die mit netfilter-persistent geladen werden.
- ingo2
- Beiträge: 1124
- Registriert: 06.12.2007 18:25:36
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Wo der gute Riesling wächst
Re: VPN: IPV6 Leak
Es gibt evtl. da noch eine Sache, die sich mit Buster geändert hat:
Schon im Bootprozeß wird versucht, VPN-Vebindungen zu starten/einzulesen. Kann natürlich bei systemd sehr früh sein. Das kannst du aber verhindern mit
Hatte selbst auch dadurch Ärger/etc/default/openvpn editieren (# entfernen)
AUTOSTART="none"
avatar: [http://mascot.crystalxp.net/en.id.2938- ... nther.html MF-License]
Re: VPN: IPV6 Leak
Nein, das bringt leider keine Änderung. Ich habe hier noch den Output von "sysctl -p" nach dem Booten, vll fällt da jemandem was auf?ingo2 hat geschrieben:29.12.2019 11:57:11Es gibt evtl. da noch eine Sache, die sich mit Buster geändert hat:
Schon im Bootprozeß wird versucht, VPN-Vebindungen zu starten/einzulesen. Kann natürlich bei systemd sehr früh sein. Das kannst du aber verhindern mitHatte selbst auch dadurch Ärger/etc/default/openvpn editieren (# entfernen)
AUTOSTART="none"
Code: Alles auswählen
# sysctl -p
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_synack_retries = 5
net.ipv4.ip_forward = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.log_martians = 1
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.eno1.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
net.ipv4.ip_nonlocal_bind = 1
- ingo2
- Beiträge: 1124
- Registriert: 06.12.2007 18:25:36
- Lizenz eigener Beiträge: GNU Free Documentation License
- Wohnort: Wo der gute Riesling wächst
Re: VPN: IPV6 Leak
Wird das evtl. schon in der initrd geladen - dann hilft ein
?
Code: Alles auswählen
update-initramfs -u
avatar: [http://mascot.crystalxp.net/en.id.2938- ... nther.html MF-License]
Re: VPN: IPV6 Leak
Teste mal ob das Forwarding in Folge des Eintrags:_ash hat geschrieben:29.12.2019 12:20:16Nein, das bringt leider keine Änderung. Ich habe hier noch den Output von "sysctl -p" nach dem Booten, vll fällt da jemandem was auf?Code: Alles auswählen
# sysctl -p net.ipv4.ip_forward = 1
Code: Alles auswählen
net.ipv4.ip_forward = 1
Re: VPN: IPV6 Leak
Direkt nach dem Booten:mat6937 hat geschrieben:29.12.2019 13:07:42Teste mal ob das Forwarding in Folge des Eintrags:, sofort nach dem Booten und ohne die Ausführung von "sysctl -p", aktiv/brauchbar ist. Wenn das der Fall ist, dann hat es nur etwas mit dem deaktivieren von IPv6 zu tun und nicht mit sysctl.Code: Alles auswählen
net.ipv4.ip_forward = 1
Code: Alles auswählen
# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
Re: VPN: IPV6 Leak
Ja, aber es geht darum ob das auch aktiv ist bzw. benutzt werden kann. Die Ausgabe ist ja auch bei dem deaktivieren des IPv6 OK, aber wie man sieht kann man sich ja nicht darauf verlassen._ash hat geschrieben:29.12.2019 14:20:03Direkt nach dem Booten:Code: Alles auswählen
# sysctl net.ipv4.ip_forward net.ipv4.ip_forward = 1
Re: VPN: IPV6 Leak
Da ich direkt nach dem Booten meine VPN Verbindung benutzen kann, gehe ich davon aus, dass es aktiv ist. Oder wie sonst könnte ich das testen?
Re: VPN: IPV6 Leak
OK, dein Test ist richtig. D. h., IPv6 kann man mit sysctl, nur _nach_ dem booten manuell oder mit einer timer-unit (oder gleichwertig) deaktivieren._ash hat geschrieben:29.12.2019 17:19:10Da ich direkt nach dem Booten meine VPN Verbindung benutzen kann, gehe ich davon aus, dass es aktiv ist. Oder wie sonst könnte ich das testen?
Re: VPN: IPV6 Leak
Der Network-Manager war das Problem, der aktiviert IPV6 wieder. Ich habe jetzt IPV6 im Network-Manager deaktiviert, jetzt tut alles so, wie es soll.
Re: VPN: IPV6 Leak
Wie hast Du das feststellen können? Gibt es da evtl. Hinweise im Log des NM oder im allgemeinen Log?_ash hat geschrieben:30.12.2019 09:04:27Der Network-Manager war das Problem, der aktiviert IPV6 wieder.
Re: VPN: IPV6 Leak [gelöst]
War ein Tipp von einem Kumpel, der die Ansicht vertrat, dass NM so einen Kram macht. Habe dann die entsprechenden Einstellungen in NM vorgenommen, danach hat alles gepasst.