Standort Verbindung IPv4 und IPv6

    Guten Morgen in die Runde,


    da hier doch einige Profis am Start sind, versuche ich mal mein Glück bei meiner privaten Herausforderung und hoffe mir kann jemand helfen. Um was gehts:?

    Derzeit habe ich über 2 Fritzboxen via VPN zwei Standorte verbunden, was hervorragend funktioniert. Meine Eltern (der zweite Standort) bekommen aber demnächst Glasfaser und dadurch keine IPv4 Adresse mehr, sondern eine IPv6 Adresse - somit habe ich mit meinem Verständnis keine Öffentliche IP mehr!?


    - ist es überhaupt möglich die zwei Standorte zu verbinden? Wenn ja, weiterhin mit Fritzbox oder brauche ich da was anderes a´la Draitek, Mikrotek ?

    - Wenn ich mich richtig informiert habe, kann ich nicht mehr über komplette Adressbereiche freigeben, sondern muss jedes einzelne Gerät mit eigener IPv6 Adresse freigeben!?

    - Ich benötige genau genommen Zugriff von aussen auf NAS, Drucker, Fritzbox und iMac


    Kann mir bitte jemand erklären ob das überhaupt möglich ist und welche Voraussetzungen dafür erforderlich sind.

    Grüße

    Leggalucci


    Asus Prime Z390-A 1502 | i9 9900k | 48GB | AMD RX580 4GB | NVMe 500 GB | BCM94360CS2 | macOS 12.0.1 | OpenCore

    Wenn du das ganze FritzBox Gedöns eingerichtet hast, dann müsstest du über deren DNS-Dienst (DynDNS Alternative) "immer" Zugriff per VPN haben.

    Bezüglich des Verbindens, das machen Firmen ja auch. Also das geht alles.


    Jetzt folgt halbgares Wissen, ich hoffe es kann mich sonst jemand korrigieren: Mit zwei Routern hast du quasi bspw. 192.168.12x.xxx als Adressbereich. Bei deinen Eltern wäre quasi 192.168.121.10-255 und bei dir 192.168.122.10-255 über die Subnetzmaske (normalerweise 255.255.255.0) teilst du den Geräten mit, dass sie auch im Bereich 192.168.21 bzw. 192.168.122 suchen können. Das betrifft aber nur IPv4, IPv6 hat da was ganz anderes und irgendwelche (konkurrierenden) Alternativen.

    Das natten, also private IP Adressen im Netzwerk zu haben und diese dann im Router einer öffentlichen zuzuweisen gäbe es auch bei IPv6, aber ist Sinnlos, da jedes Gerät sehr viele IPv6 Adressen haben kann. Da gibt es dann lokal (fe80), link-lokal (fd00) und öffentlich.

    Das VPN der Fritzbox unterstützt leider immer noch kein IPv6. Ich warte da auch schon seit Jahren drauf. Mit der Fritzbox allein wirst du hier also nicht weiterkommen, wenn du keine öffentliche IPv4-Adresse hast.


    Ich habe nun schon seit einigen Jahren stattdessen einen separaten VPN-Server hinter der Fritzbox. Das ganze läuft über Strongswan mit IKEv2/IPsec und unterstützt problemlos IPv4 getunnelt in IPv6 und umgekehrt. Natürlich kann man damit auch ganze Netze miteinander verbinden. Für einen solchen Server könnte ein Raspberry Pi schon ausreichen.


    Es gibt noch weitere Alternativen wie WireGuard, was gerade sehr angesagt ist.

    wireguard gefällt mir auch sehr gut. Ein raspi4 mit wireguard und watchdog lässt sich recht einfach einrichten. Leider erhöht sich dadurch die Komplexität des Netzes.

    Aber ich kann mir vorstellen, dass Fritz an vpn mit ipv6 arbeitet. Das hier bietet vielleicht schon eine Vorgehensweise an.

    Hacken ⛏️⛏️
    Haken ✔️

    .

    anscheinend: es sieht so aus als ob, und wird wohl stimmen

    scheinbar: es sieht so aus als ob, stimmt aber nicht

    Spoiler anzeigen
    Zitat von pebbly

    Wenn du das ganze FritzBox Gedöns eingerichtet hast, dann müsstest du über deren DNS-Dienst (DynDNS Alternative) "immer" Zugriff per VPN haben.

    Bezüglich des Verbindens, das machen Firmen ja auch. Also das geht alles.

    Das stimmt so leider nicht. DynDNS ist eben auch nur ein DNS-Service und kein Relay. Es bietet dir damit lediglich einen Hostname zu deinen IP-Adressen. Das bringt dir aber nichts, wenn diese Adressen von außen nicht erreichbar sind, was hier durch Dual Stack Lite der Fall ist. Der VPN-Server der Fritzbox versteht aktuell nur IPv4 und von außen kannst du keine Verbindungen zu einem solchen Anschluss direkt über IPv4 aufbauen.

    es soll anbieter geben, die bei einem freundlichen anruf "ich würde gerne vpn nutzen..... könnte ich bitte dualstack kriegen" tatsächlich umstellen. versuch das doch mal als erstes.

    bei mir hat es geklappt.

    meine läptopps:

    ersthilfe vor ort für altes zeugs (-> laptops) 8)

    berliner häckinTosh.stammTisch am 3.monatsmittwoch im maxFish/kunsthaus ACUD

    der stammtisch in berlin ist WIEDER DA!! nächster termin voraussichtlich: mittwoch 15.9.21, 19.00 uhr

    wow! Mit so einer Resonanz habe ich nicht gerechnet - vielen Dank!


    grt Das war auch mein erster Gedanke, Habe bei der Deutschen Glasfaser angerufen, eine Umstellung wäre möglich, allerdings nur im Business Tarif, mit mehreren Rufnummern ... Kosten 79,- EUR/Monat netto. Was für meine Eltern absolut unnötig wäre.


    pebbly Wenn beide IPv4 haben funktioniert das, was ich mit den zwei Adressbereichen 192.168.1.x und 192.168.10.x seit vielen Jahren nutze. Unter IPv6 habe ich es mit den Fritzboxen nicht hinbekommen. Als dynDNS Dienst nutze ich bereits den von Fritz.


    Reezy Na da bin ich froh, dass ich mit diesem Problem nicht alleine bin und du es bereits erfolgreich lösen konntest. Was ich jedoch noch nicht ganz verstehe: Wenn ich HINTER der Fritzbox einen eigenen VPN betreibe z.B Wireshark oder wie du es bereits mit Strongswan betreibe - WIE ist dieser dann von außen erreichbar? Hier habe ich noch einen "knick", das verstehe ich nicht.


    Als mögliche Hardware hätte ich an beiden Standorten potente Synology NAS. Hier könnte ich ja auch auf beiden einen eigenen VPN realisieren. Zur Not auch in einer eigenen VM oder über Docker. Am liebsten wäre mir allerdings eine Hardware die einen solchen VPN mit beiden, also V4 und V6 umgehen kann. Da bin ich auch gerne bereit einmal etwas Geld in die Hand zu nehmen. Habt ihr da weitere Ideen?

    Grüße

    Leggalucci


    Asus Prime Z390-A 1502 | i9 9900k | 48GB | AMD RX580 4GB | NVMe 500 GB | BCM94360CS2 | macOS 12.0.1 | OpenCore

    Einmal editiert, zuletzt von Leggalucci ()

    Zitat von Leggalucci

    Reezy Na da bin ich froh, dass ich mit diesem Problem nicht alleine bin und du es bereits erfolgreich lösen konntest. Was ich jedoch noch nicht ganz verstehe: Wenn ich HINTER der Fritzbox einen eigenen VPN betreibe z.B Wireshark oder wie du es bereits mit Strongswan betreibe - WIE ist dieser dann von außen erreichbar? Hier habe ich noch einen "knick", das verstehe ich nicht.

    Der Server ist dann von außen per IPv6 erreichbar. Im Gegensatz zu IPv4 ist ja dein IPv6-Präfix, welches du von deinem Provider erhältst, von außen problemlos erreichbar. Dein Server hinter der Fritzbox erhält seine eigene global erreichbare IPv6-Adresse (so wie auch jedes andere Gerät in deinem Netz). Du musst dann nur für genau diese Adresse bzw. dieses Gerät ein paar Firewall-Anpassungen in der Fritzbox vornehmen, da die Fritzbox standardmäßig alle Verbindungen von außen filtert. Bei einem IKEv2/IPsec-VPN gehört dazu das Öffnen des Ports 500 sowie das Zulassen von ESP-Paketen. Das lässt sich beides recht einfach über das Fritzbox-Menü konfigurieren.


    Da du Synology erwähnt hast: Für Synology gibt es eine prima Anleitung für die Einrichtung eines OpenVPN-Servers über IPv6. Schau mal hier.

    wireguard ist wohl performanter als openvpn und sicherer. Außerdem lässt es sich mit Docker einbinden. Eigentlich müsste es auch zudem mit Portainer funktionieren, was die Administration erleichtern könnte.

    Ich finde bei Wireguard auch die Ausgabe von Schlüsseln per Qr-Code sehr schick.

    Hacken ⛏️⛏️
    Haken ✔️

    .

    anscheinend: es sieht so aus als ob, und wird wohl stimmen

    scheinbar: es sieht so aus als ob, stimmt aber nicht

    Spoiler anzeigen

    Ich danke euch allen für die vielen Informationen. Jetzt bin ich deutlich schlauer als vorher. Dann warte ich mal den Glasfaseranschluss ab. Hauptsache war jetzt erst mal für mich, ob es überhaupt möglich ist und das ist mir jetzt klar.


    :danke2:


    Noch eine Frage zum Schluss:

    - bevor ich den Weg über eine VPN Verbindung der beiden Standorte gehe, wäre für die 3 Geräte die ich benötige auch ein Portmapping möglich, wie in diesem Video ab Minute 07:00 gezeigt wird möglich? Oder verwechsle ich da etwas. Keine Ahnung was DSLite bedeutet. Ich weis nur es gibt über Glasfaser eine IPv6 Adresse.


    Wenn sich jemand die Mühe machen könnte und sich das Video mal anschauen könnte .;-)


    [Externes Medium: https://www.youtube.com/watch?v=ttEHsjjvRS4&list=WL&index=59]

    Grüße

    Leggalucci


    Asus Prime Z390-A 1502 | i9 9900k | 48GB | AMD RX580 4GB | NVMe 500 GB | BCM94360CS2 | macOS 12.0.1 | OpenCore

    Einmal editiert, zuletzt von Leggalucci ()

    Zitat von Leggalucci

    DSLite

    ist vereinfacht gesagt ipv4 in einer ipv6-verpackung. der betreffende anschluss hat nur noch eine ipv6-adresse (die öffentliche), und alles was an ipv4-zeugs unterwegs ist, wird sozusagen in eine ipv6-umverpackung gesteckt

    meine läptopps:

    ersthilfe vor ort für altes zeugs (-> laptops) 8)

    berliner häckinTosh.stammTisch am 3.monatsmittwoch im maxFish/kunsthaus ACUD

    der stammtisch in berlin ist WIEDER DA!! nächster termin voraussichtlich: mittwoch 15.9.21, 19.00 uhr

    das selbstgehostete Portmapping klingt doch ganz in Ordnung.

    Hacken ⛏️⛏️
    Haken ✔️

    .

    anscheinend: es sieht so aus als ob, und wird wohl stimmen

    scheinbar: es sieht so aus als ob, stimmt aber nicht

    Spoiler anzeigen

    grt

    Bei DSLite teilst Du dir mit zig anderen Usern ein und dieselbe iPv4 Adresse nach aussen. Einbahnstraße eben (da könnte man theor. viel Unfug mit machen ... aber macht nat. keiner. :D) . iPv6 selber läuft ja parallel unbeirrt davon für sich. Oder bin ich gerade auf dem Holzweg?

    Intel Systeme
    Commodore

    soweit ich das gelesen hab, gibts bei dslite keine öffentliche ipv4-adresse mehr, alles läuft übers ipv6-protokoll. ipv4-daten werden mit dem ipv6-protokoll "verpackt" und vom provider ausgepackt und weitergegeben. umgekehrt werden dort ankommende ipv4-daten eingepackt und an den anschluss als ipv6-päckchen geschickt. so spart der provider ganz einfach ipv4-adressen ein.


    Sascha_77 stimmt.... der "verpackungsserver" des providers wird von diversen usern geteilt...

    meine läptopps:

    ersthilfe vor ort für altes zeugs (-> laptops) 8)

    berliner häckinTosh.stammTisch am 3.monatsmittwoch im maxFish/kunsthaus ACUD

    der stammtisch in berlin ist WIEDER DA!! nächster termin voraussichtlich: mittwoch 15.9.21, 19.00 uhr

    Ah, das es keine öffentlichen v4 mehr gibt wusste ich nicht. Hab zum Glück bei meinem Kabelanschluss Full Dual Stack. Habe ich bei jeder Tarifumstellung auch explizit betont, das ich v4 weiter behalten möchte.

    Intel Systeme
    Commodore

    Jetzt bin ich schlauer bezgl. DS Lite. Danke grt und Sascha_77 für die Erklärung.

    Auch ich habe einen Kabelanschluß mit Full DualStack - Hier hat es auch von Anfang an geklappt durch freundliches bitten für IPv4, ohne Zusatzkosten ;-)


    Wolfe für mich hört sich das auch gut an. Wenn man aber ein solches Portmapping macht, ändert sich die IPv6 Adresse der Geräte dann nicht!? Die feste ipV4 wird ja durch den Virtuellen Server erzeugt.

    Grüße

    Leggalucci


    Asus Prime Z390-A 1502 | i9 9900k | 48GB | AMD RX580 4GB | NVMe 500 GB | BCM94360CS2 | macOS 12.0.1 | OpenCore

    Leggalucci Das müsste jemand anderes beantworten. Ich bin erstmal froh, dass ich noch mit Ipv4 arbeiten darf. Bis sich das ändert, gefällt mir die Idee, dass Geräteadressen auch fest vergeben werden können.

    Hacken ⛏️⛏️
    Haken ✔️

    .

    anscheinend: es sieht so aus als ob, und wird wohl stimmen

    scheinbar: es sieht so aus als ob, stimmt aber nicht

    Spoiler anzeigen

    Frage ist auch mal wo das NAS, Drucker etc. steht. Wenn du von dem IPv6 Standort (also Standort Eltern) nur auf andere Bereiche ZUGREIFEN willst, kriegst das m.M. nach einfach hin.

    Problematisch ist es, wenn hinter DS Light die Serverressourcen (also die Ressourcen auf die du zugreifen willst) liegen hast.


    Das ERSTE was ich aber machen würde (wie grt auch schon angemerkt hat) wäre ein Anruf beim Provider und frag lieb nach ner IPv4 Adresse.

    vielen Dank für deine Antwort barrrrt

    Drucker, Nas, etc. sind bei meinen Eltern, also dem zukünftigen ipV6 Anschluss, hinter der Fritzbox.

    Habe bereits nachgefragt bezgl. nach einer ipV4 Adresse, ist jedoch laut derer Aussage nur für Businesskunden möglich. Ich warte jetzt mal, bis der Anschluss liegt, dann kann ich auch probieren was möglich ist und was nicht. Ansonsten muss ich wohl in den sauren Apfel beissen und einen Business Anschluss nehmen.

    Grüße

    Leggalucci


    Asus Prime Z390-A 1502 | i9 9900k | 48GB | AMD RX580 4GB | NVMe 500 GB | BCM94360CS2 | macOS 12.0.1 | OpenCore