VPN: IPV6 Leak [gelöst]

Einrichten des lokalen Netzes, Verbindung zu anderen Computern und Diensten.
_ash
Beiträge: 1196
Registriert: 13.05.2005 12:35:02

Re: VPN: IPV6 Leak

Beitrag von _ash » 29.12.2019 10:56:47

Sehe ich ganz genau so, dennoch ist das Verhalten exakt wie ich es beschrieben habe:

1. Nach dem Booten google.com besuchen: deutsche Seite
2. "sysctl -p"
3. google.com neu laden: isländische Seite (das steht mein VPN)

Wie kann das sein??

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: VPN: IPV6 Leak

Beitrag von mat6937 » 29.12.2019 11:05:24

_ash hat geschrieben: ↑ zum Beitrag ↑
29.12.2019 10:56:47
2. "sysctl -p"
3. google.com neu laden: isländische Seite (das steht mein VPN)

Wie kann das sein??
Hast Du evtl. eine Konfiguration die erst nach dem Booten eine sysctl-relevante Einstellung/Konfiguration generiert, die das deaktivieren von IPv6 via sysctl unwirksam macht? ... und die etwas mit ipv6-Routing (oder gleichwertig) zu tun hat?
Wenn nicht, dann ist das ein bug.

_ash
Beiträge: 1196
Registriert: 13.05.2005 12:35:02

Re: VPN: IPV6 Leak

Beitrag von _ash » 29.12.2019 11:11:57

mat6937 hat geschrieben: ↑ zum Beitrag ↑
29.12.2019 11:05:24
Hast Du evtl. eine Konfiguration die erst nach dem Booten eine sysctl-relevante Einstellung/Konfiguration generiert, die das deaktivieren von IPv6 via sysctl unwirksam macht? ... und die etwas mit ipv6-Routing (oder gleichwertig) zu tun hat?
Wenn nicht, dann ist das ein bug.
Zumindest nicht bewusst. Könnte der Network-Manager hier eine Rolle spielen? Oder ufw?

Ich habe das gleiche Verhalten übrigens auf 2 Rechners, meinem Desktop und meinem Laptop - das spricht vll für eine config Sache.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: VPN: IPV6 Leak

Beitrag von mat6937 » 29.12.2019 11:14:34

_ash hat geschrieben: ↑ zum Beitrag ↑
29.12.2019 11:11:57
Könnte der Network-Manager hier eine Rolle spielen?
Ja, dem traue ich so etwas zu. BTW: Ich benutze den NM schon lange nicht mehr.

_ash
Beiträge: 1196
Registriert: 13.05.2005 12:35:02

Re: VPN: IPV6 Leak

Beitrag von _ash » 29.12.2019 11:16:26

mat6937 hat geschrieben: ↑ zum Beitrag ↑
29.12.2019 11:14:34
BTW: Ich benutze den NM schon lange nicht mehr.
Was benutzt Du stattdessen? Oder könnte es an ufw liegen?

Ideen, wie ich den Fehler überhaupt finden könnte?

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: VPN: IPV6 Leak

Beitrag von mat6937 » 29.12.2019 11:31:31

_ash hat geschrieben: ↑ zum Beitrag ↑
29.12.2019 11:16:26
Was benutzt Du stattdessen? Oder könnte es an ufw liegen?
Ich benutze systemd-networkd und service-units. ufw habe ich nie benutzt. Wenn erforderlich, dann eigene iptables-Regeln die mit netfilter-persistent geladen werden.

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: VPN: IPV6 Leak

Beitrag von ingo2 » 29.12.2019 11:57:11

_ash hat geschrieben: ↑ zum Beitrag ↑
29.12.2019 11:16:26
mat6937 hat geschrieben: ↑ zum Beitrag ↑
29.12.2019 11:14:34
BTW: Ich benutze den NM schon lange nicht mehr.
Was benutzt Du stattdessen? Oder könnte es an ufw liegen?

Ideen, wie ich den Fehler überhaupt finden könnte?
Es gibt evtl. da noch eine Sache, die sich mit Buster geändert hat:
Schon im Bootprozeß wird versucht, VPN-Vebindungen zu starten/einzulesen. Kann natürlich bei systemd sehr früh sein. Das kannst du aber verhindern mit
/etc/default/openvpn editieren (# entfernen)
AUTOSTART="none"
Hatte selbst auch dadurch Ärger

_ash
Beiträge: 1196
Registriert: 13.05.2005 12:35:02

Re: VPN: IPV6 Leak

Beitrag von _ash » 29.12.2019 12:20:16

ingo2 hat geschrieben: ↑ zum Beitrag ↑
29.12.2019 11:57:11
Es gibt evtl. da noch eine Sache, die sich mit Buster geändert hat:
Schon im Bootprozeß wird versucht, VPN-Vebindungen zu starten/einzulesen. Kann natürlich bei systemd sehr früh sein. Das kannst du aber verhindern mit
/etc/default/openvpn editieren (# entfernen)
AUTOSTART="none"
Hatte selbst auch dadurch Ärger
Nein, das bringt leider keine Änderung. Ich habe hier noch den Output von "sysctl -p" nach dem Booten, vll fällt da jemandem was auf?

Code: Alles auswählen

# sysctl -p
net.ipv4.conf.default.rp_filter = 1
net.ipv4.conf.all.rp_filter = 1
net.ipv4.tcp_syncookies = 1
net.ipv4.tcp_synack_retries = 5
net.ipv4.ip_forward = 1
net.ipv4.icmp_echo_ignore_broadcasts = 1
net.ipv4.icmp_ignore_bogus_error_responses = 1
net.ipv4.conf.all.accept_redirects = 0
net.ipv4.conf.all.send_redirects = 0
net.ipv4.conf.all.accept_source_route = 0
net.ipv4.conf.all.log_martians = 1
net.ipv6.conf.all.disable_ipv6 = 1
net.ipv6.conf.eno1.disable_ipv6 = 1
net.ipv6.conf.default.disable_ipv6 = 1
net.ipv6.conf.lo.disable_ipv6 = 1
net.ipv4.ip_nonlocal_bind = 1

Benutzeravatar
ingo2
Beiträge: 1124
Registriert: 06.12.2007 18:25:36
Lizenz eigener Beiträge: GNU Free Documentation License
Wohnort: Wo der gute Riesling wächst

Re: VPN: IPV6 Leak

Beitrag von ingo2 » 29.12.2019 12:59:34

Wird das evtl. schon in der initrd geladen - dann hilft ein

Code: Alles auswählen

update-initramfs -u
?

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: VPN: IPV6 Leak

Beitrag von mat6937 » 29.12.2019 13:07:42

_ash hat geschrieben: ↑ zum Beitrag ↑
29.12.2019 12:20:16
Nein, das bringt leider keine Änderung. Ich habe hier noch den Output von "sysctl -p" nach dem Booten, vll fällt da jemandem was auf?

Code: Alles auswählen

# sysctl -p
net.ipv4.ip_forward = 1
Teste mal ob das Forwarding in Folge des Eintrags:

Code: Alles auswählen

net.ipv4.ip_forward = 1
, sofort nach dem Booten und ohne die Ausführung von "sysctl -p", aktiv/brauchbar ist. Wenn das der Fall ist, dann hat es nur etwas mit dem deaktivieren von IPv6 zu tun und nicht mit sysctl.

_ash
Beiträge: 1196
Registriert: 13.05.2005 12:35:02

Re: VPN: IPV6 Leak

Beitrag von _ash » 29.12.2019 14:20:03

mat6937 hat geschrieben: ↑ zum Beitrag ↑
29.12.2019 13:07:42
Teste mal ob das Forwarding in Folge des Eintrags:

Code: Alles auswählen

net.ipv4.ip_forward = 1
, sofort nach dem Booten und ohne die Ausführung von "sysctl -p", aktiv/brauchbar ist. Wenn das der Fall ist, dann hat es nur etwas mit dem deaktivieren von IPv6 zu tun und nicht mit sysctl.
Direkt nach dem Booten:

Code: Alles auswählen

# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: VPN: IPV6 Leak

Beitrag von mat6937 » 29.12.2019 14:59:09

_ash hat geschrieben: ↑ zum Beitrag ↑
29.12.2019 14:20:03
Direkt nach dem Booten:

Code: Alles auswählen

# sysctl net.ipv4.ip_forward
net.ipv4.ip_forward = 1
Ja, aber es geht darum ob das auch aktiv ist bzw. benutzt werden kann. Die Ausgabe ist ja auch bei dem deaktivieren des IPv6 OK, aber wie man sieht kann man sich ja nicht darauf verlassen.

_ash
Beiträge: 1196
Registriert: 13.05.2005 12:35:02

Re: VPN: IPV6 Leak

Beitrag von _ash » 29.12.2019 17:19:10

Da ich direkt nach dem Booten meine VPN Verbindung benutzen kann, gehe ich davon aus, dass es aktiv ist. Oder wie sonst könnte ich das testen?

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: VPN: IPV6 Leak

Beitrag von mat6937 » 29.12.2019 17:33:18

_ash hat geschrieben: ↑ zum Beitrag ↑
29.12.2019 17:19:10
Da ich direkt nach dem Booten meine VPN Verbindung benutzen kann, gehe ich davon aus, dass es aktiv ist. Oder wie sonst könnte ich das testen?
OK, dein Test ist richtig. D. h., IPv6 kann man mit sysctl, nur _nach_ dem booten manuell oder mit einer timer-unit (oder gleichwertig) deaktivieren.

_ash
Beiträge: 1196
Registriert: 13.05.2005 12:35:02

Re: VPN: IPV6 Leak

Beitrag von _ash » 30.12.2019 09:04:27

Der Network-Manager war das Problem, der aktiviert IPV6 wieder. Ich habe jetzt IPV6 im Network-Manager deaktiviert, jetzt tut alles so, wie es soll.

mat6937
Beiträge: 2927
Registriert: 09.12.2014 10:44:00

Re: VPN: IPV6 Leak

Beitrag von mat6937 » 30.12.2019 09:32:20

_ash hat geschrieben: ↑ zum Beitrag ↑
30.12.2019 09:04:27
Der Network-Manager war das Problem, der aktiviert IPV6 wieder.
Wie hast Du das feststellen können? Gibt es da evtl. Hinweise im Log des NM oder im allgemeinen Log?

_ash
Beiträge: 1196
Registriert: 13.05.2005 12:35:02

Re: VPN: IPV6 Leak [gelöst]

Beitrag von _ash » 30.12.2019 12:17:08

War ein Tipp von einem Kumpel, der die Ansicht vertrat, dass NM so einen Kram macht. Habe dann die entsprechenden Einstellungen in NM vorgenommen, danach hat alles gepasst.

Antworten