PPTP-Tunnel über IPv6 erreichen

[Zorn511]

Hallo zusammen,

ich habe seit einiger zeit einen PPTP-Server auf meinem Raspi laufen. durch einen Umzug und Anbieterwechsel hat mein Anschluss leider keine öffentliche IPv4 (genauer DualStack mit CGNAT).
Für den Tunnel nutze ich das Programm PPTPD.
IPv6 forwarding in sysctl.conf hab ich schon eingeschaltet.
Den Port 1723 habe ich in der Fritzbox auch schon geöffnet.
ich greife auf die IPv6 vom Pi und nicht vom Router zu.
ich kann den PI sowohl intern, als auch von extern über die IPv6 anpingen.

Habt ihr eine Idee, wie ich PPTPD dazu bekomme die Anfagen über IPv6 zu bearbeiten?
Muss ich villeicht noch etwas bei dem "ip6tabeles" aktivieren und wenn ja was? bei IP v4 musste immer der Befehl " iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE" aufgerufen werden.

PS. Mir ist bewusst, dass PPTP geknackt wurde und so weiter uns so fort, will es aber dennoch nutzen, da die größere Sicherheitslücke sowieso meine Frau ist^^.

 

[madmax2010]

gegenfrage: warum nutzt du nicht wireguard oder ein anderes modernes VPN?
PPTP kannst du halt auch einfach komplett aus lassen.
soweit ich das lese haengt pptp auch noch auf IPv4 fest und hat nie richtigen ipv6 Support bekommen.
Du reitest ein seit 18 Jahren totes Pferd.
Edit: Oh sweet, da sollte sogar noch eine Sicherheitsluecke auf sein, die es anngreifern erlaubt auf deinem Server Code auszufuehren / im zwischendurch fuer eigene Zwecke zu nutzen.

 

[Zorn511]

Weil ich PPTP ohne Zusatzsoftware und einfach, auf allen Geräten zum laufen bekomme. Ich nutze oft Geräte bei Welchen ich nichts installieren kann. Da bin ich mir auch nicht sicher wie sich das mit der Installation von manchen Zertifikaten verhält.

 

[AAS]

Weil ich PPTP ohne Zusatzsoftware und einfach, auf allen Geräten zum laufen bekomme. Ich nutze oft Geräte bei Welchen ich nichts installieren kann. Da bin ich mir auch nicht sicher wie sich das mit der Installation von manchen Zertifikaten verhält.

Sag mal auf welchen Geräten IPSec, OpenVPN oder Wireguard nicht einfach so läuft?

Ergänzung (10. März 2022)

gegenfrage: warum nutzt du nicht wireguard oder ein anderes modernes VPN?
PPTP kannst du halt auch einfach komplett aus lassen.
soweit ich das lese haengt pptp auch noch auf IPv4 fest und hat nie richtigen ipv6 Support bekommen.
Du reitest ein seit 18 Jahren totes Pferd.
Edit: Oh sweet, da sollte sogar noch eine Sicherheitsluecke auf sein, die es anngreifern erlaubt auf deinem Server Code auszufuehren / im zwischendurch fuer eigene Zwecke zu nutzen.

Absolut.

 

[t-6]

Versteh ich das richtig: An Geräten auf denen du nichts installieren kannst, oder anders ausgedrückt: Nichts installieren darfst; Auf diesen Geräten baust du eine VPN-Verbindung über ein unsicheres Protokoll zu einem Privatvergnügen auf?

Sag mal auf welchen Geräten IPSec, OpenVPN oder Wireguard nicht einfach so läuft?

Im Falle von OpenVPN oder Wireguard: Auf (u.A.) Windows-Geräten auf denen man aus diversen Gründen keine Admin-Rechte hat.

 

[AAS]

Versteh ich das richtig: An Geräten auf denen du nichts installieren kannst, oder anders ausgedrückt: Nichts installieren darfst; Auf diesen Geräten baust du eine VPN-Verbindung über ein unsicheres Protokoll zu einem Privatvergnügen auf?

Der Gedanke kam mir als erstes auch.

 

[konkretor]

Nimm halt softether dann kannst du ebenso sstp machen oder openvpn oder was du gerade so brauchst
SSTP ist bei Windows dabei

https://www.softether.org/4-docs/1-...3_Install_on_Linux_and_Initial_Configurations

 

[madmax2010]

ohne Zusatzsoftware und einfach, auf allen Geräten zum laufen bekomme.

Das kannst du auch ohne PPTP Was hast du von einem nutzlosen tunnel? Da kannst du ihn auch einfach weg lassen.
Beim allgemeinen Status von pptp wuerde ich den Raspi 1x komplett platt machen und neu aufsetzen.
Welche Betriebssystemverison ist da gerade drauf?
Wenn da jetzt noch irgendwelche EoL versionen zwischen sind und bei den Clients Windows 7 o.ae bei ist.. Solltest du mal alles platt machen. Die PCs gehoeren dann nicht mehr dir.

Hier, wireguard.
Generiert sogar einen QR Code um clients hinzuzufuegen.
https://www.hardill.me.uk/wordpress/2021/04/20/setting-up-wireguard-ipv6/

 

[Zorn511]

Brauch ich für Wireguard irgend eine Clientsoftware für windows 7 - 11, IPhon oder Adrroid?

auf meinem PI ist folgendes

PRETTY_NAME="Raspbian GNU/Linux 9 (stretch)"
NAME="Raspbian GNU/Linux"
VERSION_ID="9"
VERSION="9 (stretch)"
VERSION_CODENAME=stretch
ID=raspbian
ID_LIKE=debian

 

[Ja_Ge]

Was genau machst du denn durch den Tunnel? Fileserver, Remotezugriff? Und deine Frau hat PPTP geknackt ?

 

[Zorn511]

Ja, hat sie^^
ich mache RDP und Datenzugriff, ab und an druck ich auch ma was und schau ob jemand angerufen hat (in der fritzbox) dann noch ssh für den Raspi.

Ergänzung (10. März 2022)

Ich suche eigentlich eine Möglichkeit mit der ich mich schnell und einfach mal eben zuhause einwählen kann ohne groß noch irgendwelche Zertifikate oder ähnlich erstellen und übertragen zu müssen. da hat mit PPTP immer gut gefallen. Und Ehrlich gesagt was wollen die Leute groß bei mir holen oder machen. in bin ein Hanz niemand und die werden wohl kaum alle IP-Adressen nach nem offenen PPTP Tunnel abgrasen.

 

[T670i]

IPSec mit Preshared Key (PSK).
Das können Windows und Android mit Boardmitteln.
Der schon genannte SoftEther VPN Server kann IPSec.

 

[madmax2010]

in bin ein Hanz niemand und die werden wohl kaum alle IP-Adressen nach nem offenen PPTP Tunnel abgrasen.

das dauert unter 5 Minuten. Fuer alle IPv4 Adressen.

für windows 7

Bitte nicht. Das berechtigungssystem Von windows 7 ist seit ca 1.5 Jahren kaputt. Da kann im Prinzip jeder, mit einer geschickt ertellten Werbeanzeige schadcode drauf installieren. und seit mehr als 2 Jahren gibt keine secirity patches mehr

a hat mit PPTP immer gut gefallen.

kannst aber halt auch weg lassen. Wobei RDP nackt am uinternet, vor allem in schlechtem zustand, eig. auch ein garant ist, dass dir der PC schnell nicht mehr alleine gehoert.
Mir geallen auch viele Dinge, aber rationale ueberlegungen sorgen dafuer, dass ich sie nicht nutze / kaufe.

Und Ehrlich gesagt was wollen die Leute groß bei mir holen oder machen. in bin ein Hanz niemand und die werden wohl kaum alle IP-Adressen nach nem offenen PPTP Tunnel abgrasen.

Das uebliche. Deinen PC als Proxy nutzen, kinderpornos darauf hosten, identitaetsdiebstahl, phishing nix schlimmes, so lange die Polizei nciht denkt, dass es auf einem deiner PCs passiert ist.
Kriminelle machen halt dinge, die Kriminelle machen.

 

[Helge01]

werden wohl kaum alle IP-Adressen nach nem offenen PPTP Tunnel abgrasen

Das Scannen aller IPv4 Adressen und Ports dauert ca. 10 Minuten.

 

[foo_1337]

2022 PPTP einzusetzen ist ungefähr wie wenn man 2005 noch telnet eingesetzt hätte. Naja, nicht mal das.
PPTP hatte ehrlich gesagt nie eine Daseinsberechtigung und war der klägliche Versuch von Ascend und Microsoft ein eigenes Süppchen zu kochen. Das RFC dazu ist unvollständig und da es keine große Akzeptanz von 3rd Party gab, ist der IPv6 Support auch so wie er ist. Und das merkst du ja gerade.

 

[Zorn511]

Zum Glück hab ich keine Öffentliche IPv4 mehr.
ich Glaue ich teste ma IPSec mit Preshared Key (PSK)
jemand tipps für die Installation auf dem Raspi?
Mein PPTP werde ich wohl nimmer zum Laufen bekommen so wie Ihr das beschreibt.

 

[madmax2010]

jemand tipps für die Installation auf dem Raspi?

erstmal auf debian 11 upgraden. 9 bekommt nur noch bis sommer Patches . Aber setz am liebsten neu auf. Ih wuerde dem nicht mehr trauen, nachdem er vermutlich jahre lang gut angreifbar im Internet auffindbar war.

Einfache tutorials habe ich gerade keine gefunden -
https://github.com/hwdsl2/setup-ipsec-vpn
schau mal ob du damit zurecht kommst. nimmt viel Arbeit ab und tut ganz gut

 

[Zorn511]

Danke erstmal
ich teste das Jetzt erstmal mit nem Upgrade, da ich mir noch ein Kartenleser bestellen muss^^
In dieser Anleitung steht jetzt nichts von IPv6. ich vermute mal, dass das dann einfach so funktioniert oder muss mich da auch noch auf etwas einstellen?

 

[syhm]

Die beste Lösung die auf allen aktuellen Betriebssystemen (Windows, Mac und Linux) funktioniert ist IPSec IKEv2. Ich kann dir hier für Strongswan empfehlen, funktioniert seit Jahren ohne Probleme bei mir. Beim Konfigteil kann ich dir gerne behilflich sein. Für den Betrieb von Strongswan ist jedoch zwingend ein Zertifikat erforderlich, hierfür kannst du Let's Encrypt verwenden. Selbstsigniert geht natürlich auch, jedoch muss dann die CA auf allen Geräten vorhanden sein.

 

[Zorn511]

erstmal auf debian 11 upgraden. 9 bekommt nur noch bis sommer Patches . Aber setz am liebsten neu auf. Ih wuerde dem nicht mehr trauen, nachdem er vermutlich jahre lang gut angreifbar im Internet auffindbar war.

Einfache tutorials habe ich gerade keine gefunden -
https://github.com/hwdsl2/setup-ipsec-vpn
schau mal ob du damit zurecht kommst. nimmt viel Arbeit ab und tut ganz gut

ich hab´s jetzt mal getestet. Vorher hab ich noch das Aktuelle Raspi OS light 32bit drauf gemacht.
Ich habe von Intern versucht ein Tunnel aufzubauen über die Lokale IPv4 und über die IPv6 mit den offenen Ports (UPD 1701,500 und 4500), allerdings bekomme ich immer die Meldung, dass der Server nicht antwortet. Hab auch in Windows bei den Adaptereinstellungen CHAP aktiviert. Dennoch selbes Resultat. Ich bin mir jetzt nicht sicher was ich da falsch gemacht haben könnte, da durch das Skript eigentlich auch nichts falsch gemacht werden kann.