[gelöst] Disable IPv6 während OpenVPN-Verbindungen

[ingo2]

Ich nehme mal an, daß ich mit dieser Frage nicht alleine bin. Seit DSL-Anschlüsse immer mehr Dual-Stack sind, während VPN noch größtenteils auf IPv4 beschränkt ist, stellt das ein ernstes Sicherheitsproblem dar. Man hat zwar einen sichern VPN-Tunnel, aber der tunnelt in vielen Fällen nur den IPv4-Traffic. IPv6 ist da ein regelrechter Bypass. Viele Threads dazu gibt's im Internet, aber keine wirklich paktikablen Lösungen.

VPN's mit dem NetworkManager zu nutzen ist eine bequeme Sache, auch wenn das noch Schönheitsfehler hat. Ich habe inzwischen eine "funktionierende" Lösung dafür gefunden, ohne das VPN mit Scripten und dem nmcli zu benutzen.

Anlaß dazu war diese Quelle: http://linux.die.net/man/8/networkmanager. Und nachdem ich gefunden habe, daß sich der IPv6-Support einfach über das proc-Dateisystem an- und abschalten läßt, hilft folgendes simple Script (ausführbar machen, ggf. Dateinamen anpassen):

/etc/NetworkManager/dispatcher.d/02noipv6onvpn

Code: Alles auswählen

#!/bin/sh -e
# Script to disable IPv6 during VPN-connections
# Place in /etc/NetworkManager/dispatcher.d/
if [ "$2" = "vpn-up" ]; then
   echo 1 > /proc/sys/net/ipv6/conf/all/disable_ipv6
fi
if [ "$2" = "vpn-down" ]; then
   echo 0 > /proc/sys/net/ipv6/conf/all/disable_ipv6
fi

Bei mir klappt es einwandfrei. Ich habe allerdings nur unter Wheezy getestet (OpenVPN-Client), gehe aber davon aus, daß es auch unter Jessie funktioniert.

Viel Spass und über Rückmeldungen oder Verbesserungen würde ich mich freuen. Falls auch weitere User das als Lösung sehen, setze ich den Thread als "gelöst".
Ingo

[catdog2]

Falls auch weitere User das als Lösung sehen, setze ich den Thread als "gelöst".

Solche Tipps gehören ins Wiki: https://wiki.debianforum.de/

Anlaß dazu war diese Quelle: http://linux.die.net/man/8/networkmanager.

Die jessie manpage ist da ansonsten sogar noch ausführlicher http://manpages.debian.org/cgi-bin/man. ... &locale=en

Bei mir klappt es einwandfrei. Ich habe allerdings nur unter Wheezy getestet (OpenVPN-Client), gehe aber davon aus, daß es auch unter Jessie funktioniert.

Wobei sich wohl anbietet unter jessie stattdessen vpn-pre-up zu verwenden.

Man könnte noch hinzufügen, dass man CONNECTION_UUID oder CONNECTION_ID verwenden kann um das auf bestimmte Verbindungen zu beschränken.
Man könnte das evtl. sogar noch etwas weiter spinnen und prüfen ob das VPN eine ipv6 route konfiguriert hat und nur falls dies nicht der Fall ist ipv6 abdrehen.

[ingo2]

Falls auch weitere User das als Lösung sehen, setze ich den Thread als "gelöst".

Solche Tipps gehören ins Wiki: https://wiki.debianforum.de/

Da war ich noch ein "gebranntes Kind" von Ubuntu - die wachen mit Argusaugen über ihr Wiki und vergraulen die User (mit dem Erfolg, daß das Wiki immer mehr veraltet). Kann ich dieses Posting so wie es ist, übernehmen?

Anlaß dazu war diese Quelle: http://linux.die.net/man/8/networkmanager.

Die jessie manpage ist da ansonsten sogar noch ausführlicher http://manpages.debian.org/cgi-bin/man. ... &locale=en

Bei mir klappt es einwandfrei. Ich habe allerdings nur unter Wheezy getestet (OpenVPN-Client), gehe aber davon aus, daß es auch unter Jessie funktioniert.

Wobei sich wohl anbietet unter jessie stattdessen vpn-pre-up zu verwenden.

das habe ich auch gesehen, aber die Gnome-Leute schreiben zum NM, daß vpn-pre-up ... noch buggy sind und deshalb deaktiviert. Müßete man erst unter Jessi checken.

Man könnte noch hinzufügen, dass man CONNECTION_UUID oder CONNECTION_ID verwenden kann um das auf bestimmte Verbindungen zu beschränken.
Man könnte das evtl. sogar noch etwas weiter spinnen und prüfen ob das VPN eine ipv6 route konfiguriert hat und nur falls dies nicht der Fall ist ipv6 abdrehen.

[reox]

ich hab schon lange openvpn und bekomme übers VPN eine V6 adresse. War lange zeit die beste variante um aus v4 only netzen auch v6 fahren zu können. Bis jetzt hatte ich da keine probleme... Warum also v6 abdrehen wenn man das auch übers vpn routen kann?

[ingo2]

... Warum also v6 abdrehen wenn man das auch übers vpn routen kann?

Ganz einfach: weil ich meinen eigenen VPN-Server nur über IPv4 erreichen kann. Da wird dann auch nur IPv4 getunnelt. Ich möchte aus Sicherheitsgründen keinen Bypass über IPv6, falls ich mit dem Laptop mal in einem fremden WLAN unterwegs bin - dafür nutze ich das VPN über meinen kleinen Server zuhause..

[dingdang]

DANKE !!!

Habe mich extra dafür registriert hier vielen Dank für das "Tutorial". Hatte erst nicht funktioniert, aber mit chmod +x /etc/NetworkManager/dispatcher.d/02noipv6onvpn hat es super funktioniert