Über Mobilfunk-Hotspot funktioniert bei uns die VPN -Einwahl per "FortiClient" (FortiGate-Firewalls) nicht.

Ursache:

das VPN -Gateway wird per DNS angesprochen. Für den DNS-Namen gibt es ausschließlich einen publizierten A-Record, sprich Verweis auf eine IPv4-Adresse.

Nur dann, wenn wir das Notebook per T-Mobile online schicken (entweder direkt per Datenkarte oder wenn es mit der Hotspot-Funktions des iPhones die T-Mobile-Verbindung des iPhones mit-verwendet), wird bei einem nslookup auf das VPN -Gateway außer der (richtigen!) IPv4-Adresse zusätzlich ein IPv6-Eintrag (AAAA) zurückgegeben, zum Beispiel 64:ff9b::b921:d804.

Das ist eine Pseudo-IPv6-Adresse, die für NAT64 reserviert ist, und vom Telekom-DNS schlicht erfunden wurde:

https://whois.arin.net/rest/net/NET6-64-FF9B-1 

Da heutige Betriebssysteme IPv6 gegenüber IPv4 bevorzugen, geht der FortiClient also gegen die IPv6-Adresse und das VPN -Gateway verweigert die Verbindung, weil dann eine IPv6-Quelle per IPv4 bei ihm ankommt (die Telekom hat ja irgendwo ein NAT64-Übersetzungs-Gateway dazwischen).

Einfache Frage:

1) Soll das so sein? Ich dachte die Telekom wäre schon mit CGNAT ausreichend beschäftigt (private IPv4-Adresse der Mobilfunk-Teilnehmer auf eine global routbare übersetzen), warum wird ohne Not auch noch NAT64 forciert, indem man für IPv4-Ziele im Internet DNS-Einträge dazuerfindet?

2) Wie schaltet man den Unsinn ab?

Mit freundlichen Grüßen,

Patrick Wagner