19
L2TP IPSEC UDM-PRO mit DEUTSCHER GLASFASER DualStack
Hallo liebe Community,
ich bin am verzweifeln und weiß wirklich langsam nicht mehr weiter.
Ich habe seit einiger Zeit einen Glasfaser Anschluss der Deutschen Glasfaser.
Außerdem habe ich mein gesamtes Netzwerk auf Ubiquiti umgestellt.
Da ich ständig Daten von meinem NAS unterwegs benötige, hatte ich früher immer einen OpenVPN Server auf meinem
QNAP NAS laufen. Hier hatte ich jedoch auch noch eine IPv4 Adresse.
Nun ich mein Ziel eine VPN Verbindung von meinem iPhone und meinem Windows Laptop nach Hause aufzubauen.
Nur komme ich hier nicht weiter. Mir ist grundsätzlich egal ob OpenVPN, Wireguard oder L2TP/IPsec.
Am liebsten ohne irgendwelche Portmapper oder Bastellösungen.... Problem ist, es gibt so viele Anleitungen und
ich verstehe nur noch Bahnhof.
Vielleicht kann mir jemand von euch eine Anleitung oder Howto geben?
Ich danke euch im Voraus und wünsche ein angenehmes Wochenende.
Beste Grüße
72 dpi
ich bin am verzweifeln und weiß wirklich langsam nicht mehr weiter.
Ich habe seit einiger Zeit einen Glasfaser Anschluss der Deutschen Glasfaser.
Außerdem habe ich mein gesamtes Netzwerk auf Ubiquiti umgestellt.
Da ich ständig Daten von meinem NAS unterwegs benötige, hatte ich früher immer einen OpenVPN Server auf meinem
QNAP NAS laufen. Hier hatte ich jedoch auch noch eine IPv4 Adresse.
Nun ich mein Ziel eine VPN Verbindung von meinem iPhone und meinem Windows Laptop nach Hause aufzubauen.
Nur komme ich hier nicht weiter. Mir ist grundsätzlich egal ob OpenVPN, Wireguard oder L2TP/IPsec.
Am liebsten ohne irgendwelche Portmapper oder Bastellösungen.... Problem ist, es gibt so viele Anleitungen und
ich verstehe nur noch Bahnhof.
Vielleicht kann mir jemand von euch eine Anleitung oder Howto geben?
Ich danke euch im Voraus und wünsche ein angenehmes Wochenende.
Beste Grüße
72 dpi
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1605589919
Url: https://administrator.de/contentid/1605589919
Printed on: April 23, 2024 at 12:04 o'clock
19 Comments
Latest comment
Dei DG verwendet DSLite, du hast also keine öffentliche IPv4 mehr aber eine öffentliche geroutetes IPv6 Subnet. Ergo entweder direkt per IPv6 mit deinem Netz verbinden (kann heute eigentlich jeder deutsche Mobilfunk-Provider) oder eben einen Jumphost (vServer bei einem Hoster anmieten), verwenden wenn IPv4 verwendet werden soll, wenn man z.B. aus Hotspots zugreifen will in denen man keine globale IPv6 Adresse bekommt.
Anleitungen findest du hier dazu zu Hauf
Feste IPs zuhause in pfsense via WireGuard Tunnel
Merkzettel: VPN Installation mit Wireguard
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
Anleitungen findest du hier dazu zu Hauf
Feste IPs zuhause in pfsense via WireGuard Tunnel
Merkzettel: VPN Installation mit Wireguard
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
DS-Lite Opfer !!
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
Damit ist technisch wegen CGN kein IPv4 VPN möglich !
Weiss man aber VORHER wenn man bei solchen Providern unterschreibt und sich bindet.
Wie Kollege @149569 schon sagt gibts da bei IPv4 Nutzung nur eine Lösung mit einem Jumphost und monatlichen Mehrkosten. Oder...
Du fragst bei deren Support an ob du eine feste, öffentliche IPv4 Adresse zum Vertrag zubuchen kannst. Ansonsten bleibt nur VPN via IPv6.
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
Damit ist technisch wegen CGN kein IPv4 VPN möglich !
Weiss man aber VORHER wenn man bei solchen Providern unterschreibt und sich bindet.
Wie Kollege @149569 schon sagt gibts da bei IPv4 Nutzung nur eine Lösung mit einem Jumphost und monatlichen Mehrkosten. Oder...
Du fragst bei deren Support an ob du eine feste, öffentliche IPv4 Adresse zum Vertrag zubuchen kannst. Ansonsten bleibt nur VPN via IPv6.
Zitat von @aqui:
Du fragst bei deren Support an ob du eine feste, öffentliche IPv4 Adresse zum Vertrag zubuchen kannst.
Gibt's dort nur in Verbindung mit einem Business Vertrag, da stellen die sich stur.Du fragst bei deren Support an ob du eine feste, öffentliche IPv4 Adresse zum Vertrag zubuchen kannst.
Dann sollte er aber auch im gleichen Zug das Ubiquity-Gedöhns ausmisten, weil er ja keine "Bastellösung" haben will 
. Duck und wech ...🐟
. Duck und wech ...🐟
Zitat von @aqui:
DS-Lite Opfer !!
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
Damit ist technisch wegen CGN kein VPN möglich !
DS-Lite Opfer !!
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
Damit ist technisch wegen CGN kein VPN möglich !
Diese generalisierte Aussage ist doch totaler Kernschrott.
Auch mit IPv6 geht VPN. Wenn beide Seiten das können. Klar.
Einige L2TP-Implementationen können das nicht, aber notfalls wechselt man auf andere Protokolle - OpenVPN oder Wireguard, um mal Beispiele zu nennen.
Dann kannst du einfach per IPv6 verbinden, was zumindest in Deutschland bis auf ein paar wenige Provider von allen unterstützt wird, im Mobilfunk mittlerweile auf jeden Fall flächendeckend.
Sorry, du hast natürlich Recht. Das "IPv4" als Schlüsselelemt vergessen was dann hoffentlich Kerneisenpulver draus macht. Ist ja Freitag, da passiert das schonmal... 
Naja, Opfer... weiß ich nicht recht. Früher oder später werden die meisten privaten Anschlüsse bestimmt keine eigene feste IP-Adresse mehr haben.
Ich habe nun in meinem Router den DHCPv6 Server aktiviert und im WAN Netzwerk ebenfalls IPv6 aktiviert sowie den Präfix gesetzt. Mein QNAP Nas bekommt nun auch ne lokale IPv6 Adresse. Wie kriege ich dieses nun dazu, dass es ne richtige IPv6 Adresse bekommt, jemand evtl. hier ne Ahnung?
Danke im Voraus für konstruktive Beiträge.
Ich habe nun in meinem Router den DHCPv6 Server aktiviert und im WAN Netzwerk ebenfalls IPv6 aktiviert sowie den Präfix gesetzt. Mein QNAP Nas bekommt nun auch ne lokale IPv6 Adresse. Wie kriege ich dieses nun dazu, dass es ne richtige IPv6 Adresse bekommt, jemand evtl. hier ne Ahnung?
Danke im Voraus für konstruktive Beiträge.
Zitat von @72-dpijunkie:
Ich habe nun in meinem Router den DHCPv6 Server aktiviert und im WAN Netzwerk ebenfalls IPv6 aktiviert sowie den Präfix gesetzt.
Dann checke als erstes ob das WAN Interface auch eine globale IPv6 erhalten bzw. ein Prefix vom DHCPv6 des Providers erhalten hat. Bei der DG kann das durchaus 15 Minuten dauern. Bei Änderung der MAC am WAN auch länger!Ich habe nun in meinem Router den DHCPv6 Server aktiviert und im WAN Netzwerk ebenfalls IPv6 aktiviert sowie den Präfix gesetzt.
Mein QNAP Nas bekommt nun auch ne lokale IPv6 Adresse. Wie kriege ich dieses nun dazu, dass es ne richtige IPv6 Adresse bekommt, jemand evtl. hier ne Ahnung?
Stelle mal die QNAP nicht auf DHCPv6 (statefull) sondern SLAAC (stateless / Stateless Addres Autoconfiguration), bei der Einstellung oben macht die LAN-Intern die Verteilung sicher stateless ohne DHCPv6 wobei sich die Clients per Neighbor Solicitation und Advertisments die globalen Adressen anhand des vom Router advertisten Prefix selbst auswählen.Achtung: Der DHCPv6 Server der deutschen Glasfaser ist sehr empfindlich, wählerisch und langsam was Adressvergabe anbelangt!
Siehe dazu auch den aktuellen Beitrag zum Thema DHCPv6 der DG
Deutsche Glasfaser + Routerwechsel (Bintec) + kein IPv6
Hallo hacktor,
Ich hab's gerade auch gemerkt und auf SLAAC gestellt. Mein NAS hat nun endlich eine IPv6 Adresse.
Hat tatsächlich ca. 5min gedauert, bis die IP zu sehen war.
Jetzt muss ich nur noch meinen Ubuntu v-server und 6tunnel einrichten.
Ich hab hierzu folgendes getan:
6tunnel installier:
Script erstellt:
Und hier kommt meine nächste Frage.. Wenn ich nun mein NAS über L2tp erreichen will.. muss ich welche Ports alle Freigeben? Und muss hier die IP-Adresse des Routers oder des NAS rein? Ich würde den L2TP Dienst am liebsten auf dem Router laufen lassen, weiß aber nicht ob Ubiquiti IPv6 kann? Sonst mache ich das über das NAS... Hier fehlt mir nen bisschen das KnowHow.. Könnte ich es so machen??
Ich hab's gerade auch gemerkt und auf SLAAC gestellt. Mein NAS hat nun endlich eine IPv6 Adresse.
Hat tatsächlich ca. 5min gedauert, bis die IP zu sehen war.
Jetzt muss ich nur noch meinen Ubuntu v-server und 6tunnel einrichten.
Ich hab hierzu folgendes getan:
6tunnel installier:
apt-get install 6tunnelnano /home/tunnels.sh#!/bin/sh
sleep 20s
killall 6tunnel
sleep 10s
6tunnel 80 2dfc:0000:0001:0000:0217:cbff:fe8c:0000 80Und hier kommt meine nächste Frage.. Wenn ich nun mein NAS über L2tp erreichen will.. muss ich welche Ports alle Freigeben? Und muss hier die IP-Adresse des Routers oder des NAS rein? Ich würde den L2TP Dienst am liebsten auf dem Router laufen lassen, weiß aber nicht ob Ubiquiti IPv6 kann? Sonst mache ich das über das NAS... Hier fehlt mir nen bisschen das KnowHow.. Könnte ich es so machen??
#!/bin/sh
sleep 20s
killall 6tunnel
sleep 10s
# Angenommen die folgende IP ist das NAS
6tunnel 500 2dfc:0000:0001:0000:0217:cbff:fe8c:0000 500
6tunnel 1701 2dfc:0000:0001:0000:0217:cbff:fe8c:0000 1701
6tunnel 50 2dfc:0000:0001:0000:0217:cbff:fe8c:0000 50Früher oder später werden...
Bei den jüngeren Billigprovidern sicher ja aber nicht bei denen die schon länger am Markt etabliert sind sicher nicht.https://www.heise.de/newsticker/meldung/Das-war-s-mit-IPv4-Adressen-in-E ...
Was aber ganz sicher früher oder später wird, ist das das Internet gar keine IPv4 Adressen mehr nutzt und alles endlich vollständig auf IPv6 migriert ist.
Dann hat man soviel Adressen um auch alle Sandkörner auf der Erde und Mond adressieren zu können. Krücken wie NAT und DS-Lite sind dann endlich auch Geschichte !!
muss ich welche Ports alle Freigeben?
Wie immer wenn du die L2TP Ports meinst: IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichtenIch würde den L2TP Dienst am liebsten auf dem Router laufen lassen
Nichts leichter als das:PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
Wozu der L2TP Overhead ? Wenn du das per IPv6 angebunden hast reicht doch ein simples IPsec VPN mit Transportverschlüsselung aus den Bordmitteln mit Strongswan ?!
Zitat von @72-dpijunkie:
Und hier kommt meine nächste Frage.. Wenn ich nun mein NAS über L2tp erreichen will.. muss ich welche Ports alle Freigeben? Und muss hier die IP-Adresse des Routers oder des NAS rein?
Achtung IPSec via IPv6 Transportadressen (UDP Encapsulation für IPv6) supporten nur aktuellste Kernel-Versionen (ab Kernel Version 5.8 verfügbar), das ist bei den Synos vermutlich nicht der Fall?!Und hier kommt meine nächste Frage.. Wenn ich nun mein NAS über L2tp erreichen will.. muss ich welche Ports alle Freigeben? Und muss hier die IP-Adresse des Routers oder des NAS rein?
Zitat von @149569:
Zitat von @72-dpijunkie:
Und hier kommt meine nächste Frage.. Wenn ich nun mein NAS über L2tp erreichen will.. muss ich welche Ports alle Freigeben? Und muss hier die IP-Adresse des Routers oder des NAS rein?
Achtung IPSec via IPv6 Transportadressen (UDP Encapsulation für IPv6) supporten nur aktuellste Kernel-Versionen (ab Kernel Version 5.8 verfügbar), das ist bei den Synos vermutlich nicht der Fall?!Und hier kommt meine nächste Frage.. Wenn ich nun mein NAS über L2tp erreichen will.. muss ich welche Ports alle Freigeben? Und muss hier die IP-Adresse des Routers oder des NAS rein?
Ich verwende auf dem NAS: QTS 4.5.2.1594 (https://www.qnap.com/de-de/release-notes/qts/4.5.2.1594/20210302)
Krieg ich irgendwie raus ob der Kernel aktuell genug ist?
@aqui, ich habe keinen Mikrotik Router.. und mit pdfsense hab ich noch nie was gemacht.. ich habe aber gesehen, dass es das als docker container gibt. macht das sinn?
(am rande: ich bin nicht vom fach, also bitte nicht mit panzer auf spatzen schiessen)
Per SSH auf der Syno einloggen und ein
in die Konsole eintippen.
Hier gibt es auch eine Liste der Kernel/Device
https://www.qnap.com/en/release-notes/kernel
uname -rHier gibt es auch eine Liste der Kernel/Device
https://www.qnap.com/en/release-notes/kernel
Zitat von @149569:
Per SSH auf der Syno einloggen und ein
in die Konsole eintippen.
Hier gibt es auch eine Liste für die Hardware
https://www.qnap.com/en/release-notes/kernel
Per SSH auf der Syno einloggen und ein
> uname -a
> Hier gibt es auch eine Liste für die Hardware
https://www.qnap.com/en/release-notes/kernel
Ich muss leider kurz weg. Ich werde allerdings sobald ich wieder Zuhause bin berichten.
Danke erstmal.
Frohe Weihnachten zusammen,
ich habe nun folgendes getan:
Die IPv6 Adresse im vserver für 6tunnel eingetragen:
(natürlich die richtige)
Folgende Firewalleinstellungen in meinem Router gesetzt:
Aber ich bekomme Partou keine Verbindung. Ich hab die IPv4 Adresse des vServers in der OpenVPN config eingetragen.
Irgendwie bin ich zu blöde... Hat jemand ne Idee? Ausser Ubiquiti auszumisten?
LG
ich habe nun folgendes getan:
Die IPv6 Adresse im vserver für 6tunnel eingetragen:
6tunnel 1194 2dfc:0000:0001:0000:0217:cbff:fe8c:0000 1194Folgende Firewalleinstellungen in meinem Router gesetzt:
Aber ich bekomme Partou keine Verbindung. Ich hab die IPv4 Adresse des vServers in der OpenVPN config eingetragen.
Irgendwie bin ich zu blöde... Hat jemand ne Idee? Ausser Ubiquiti auszumisten?
LG
Du solltest dich mal eingehend belesen wie IPv6 arbeitet und warum ICMPv6 für eine erfolgreiche Kommunikation zwingend erforderlich ist.
Grundlagen aneignen, verstehen und selbst das Ziel erarbeiten bringt dir letztendlich am Meisten, als copy n paste.
Grundlagen aneignen, verstehen und selbst das Ziel erarbeiten bringt dir letztendlich am Meisten, als copy n paste.
1
Wenn's das denn war bitte dann nicht vergessen den Thread auch zu schliessen !
How can I mark a post as solved?
How can I mark a post as solved?
