72-dpijunkie
Goto Top

L2TP IPSEC UDM-PRO mit DEUTSCHER GLASFASER DualStack

Hallo liebe Community,
ich bin am verzweifeln und weiß wirklich langsam nicht mehr weiter.


Ich habe seit einiger Zeit einen Glasfaser Anschluss der Deutschen Glasfaser.
Außerdem habe ich mein gesamtes Netzwerk auf Ubiquiti umgestellt.


Da ich ständig Daten von meinem NAS unterwegs benötige, hatte ich früher immer einen OpenVPN Server auf meinem
QNAP NAS laufen. Hier hatte ich jedoch auch noch eine IPv4 Adresse.

Nun ich mein Ziel eine VPN Verbindung von meinem iPhone und meinem Windows Laptop nach Hause aufzubauen.
Nur komme ich hier nicht weiter. Mir ist grundsätzlich egal ob OpenVPN, Wireguard oder L2TP/IPsec.

Am liebsten ohne irgendwelche Portmapper oder Bastellösungen.... Problem ist, es gibt so viele Anleitungen und
ich verstehe nur noch Bahnhof.


Vielleicht kann mir jemand von euch eine Anleitung oder Howto geben?
Ich danke euch im Voraus und wünsche ein angenehmes Wochenende.


Beste Grüße

72 dpi

Content-ID: 1605589919

Url: https://administrator.de/contentid/1605589919

Printed on: December 14, 2024 at 19:12 o'clock

149569
149569 Dec 10, 2021 updated at 11:52:16 (UTC)
Goto Top
Dei DG verwendet DSLite, du hast also keine öffentliche IPv4 mehr aber eine öffentliche geroutetes IPv6 Subnet. Ergo entweder direkt per IPv6 mit deinem Netz verbinden (kann heute eigentlich jeder deutsche Mobilfunk-Provider) oder eben einen Jumphost (vServer bei einem Hoster anmieten), verwenden wenn IPv4 verwendet werden soll, wenn man z.B. aus Hotspots zugreifen will in denen man keine globale IPv6 Adresse bekommt.

Anleitungen findest du hier dazu zu Hauf
Feste IPs zuhause in pfsense via WireGuard Tunnel
Merkzettel: VPN Installation mit Wireguard
IPsec IKEv2 Standort VPN Vernetzung mit Cisco, pfSense OPNsense und Mikrotik
aqui
aqui Dec 10, 2021 updated at 13:29:14 (UTC)
Goto Top
DS-Lite Opfer !!
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
Damit ist technisch wegen CGN kein IPv4 VPN möglich !
Weiss man aber VORHER wenn man bei solchen Providern unterschreibt und sich bindet.
Wie Kollege @149569 schon sagt gibts da bei IPv4 Nutzung nur eine Lösung mit einem Jumphost und monatlichen Mehrkosten. Oder...
Du fragst bei deren Support an ob du eine feste, öffentliche IPv4 Adresse zum Vertrag zubuchen kannst. Ansonsten bleibt nur VPN via IPv6.
149569
149569 Dec 10, 2021 updated at 11:37:53 (UTC)
Goto Top
Zitat von @aqui:
Du fragst bei deren Support an ob du eine feste, öffentliche IPv4 Adresse zum Vertrag zubuchen kannst.
Gibt's dort nur in Verbindung mit einem Business Vertrag, da stellen die sich stur.
aqui
aqui Dec 10, 2021 updated at 11:38:45 (UTC)
Goto Top
Tja, dann schnell zu Business wechseln ! 😉

Case closed
How can I mark a post as solved?
149569
149569 Dec 10, 2021 updated at 11:51:21 (UTC)
Goto Top
Zitat von @aqui:

Tja, dann schnell zu Business wechseln ! 😉
Dann sollte er aber auch im gleichen Zug das Ubiquity-Gedöhns ausmisten, weil er ja keine "Bastellösung" haben will face-big-smile. Duck und wech ...🐟
LordGurke
LordGurke Dec 10, 2021 at 11:49:04 (UTC)
Goto Top
Zitat von @aqui:

DS-Lite Opfer !!
https://de.wikipedia.org/wiki/IPv6#Dual-Stack_Lite_(DS-Lite)
Damit ist technisch wegen CGN kein VPN möglich !

Diese generalisierte Aussage ist doch totaler Kernschrott.
Auch mit IPv6 geht VPN. Wenn beide Seiten das können. Klar.
Einige L2TP-Implementationen können das nicht, aber notfalls wechselt man auf andere Protokolle - OpenVPN oder Wireguard, um mal Beispiele zu nennen.
Dann kannst du einfach per IPv6 verbinden, was zumindest in Deutschland bis auf ein paar wenige Provider von allen unterstützt wird, im Mobilfunk mittlerweile auf jeden Fall flächendeckend.
aqui
aqui Dec 10, 2021 at 13:13:58 (UTC)
Goto Top
Sorry, du hast natürlich Recht. Das "IPv4" als Schlüsselelemt vergessen was dann hoffentlich Kerneisenpulver draus macht. Ist ja Freitag, da passiert das schonmal... face-smile
72-dpijunkie
72-dpijunkie Dec 14, 2021 at 16:27:19 (UTC)
Goto Top
Naja, Opfer... weiß ich nicht recht. Früher oder später werden die meisten privaten Anschlüsse bestimmt keine eigene feste IP-Adresse mehr haben.

Ich habe nun in meinem Router den DHCPv6 Server aktiviert und im WAN Netzwerk ebenfalls IPv6 aktiviert sowie den Präfix gesetzt. Mein QNAP Nas bekommt nun auch ne lokale IPv6 Adresse. Wie kriege ich dieses nun dazu, dass es ne richtige IPv6 Adresse bekommt, jemand evtl. hier ne Ahnung?

Danke im Voraus für konstruktive Beiträge.

qnap

ui1

ui2
149569
149569 Dec 14, 2021 updated at 16:52:52 (UTC)
Goto Top
Zitat von @72-dpijunkie:
Ich habe nun in meinem Router den DHCPv6 Server aktiviert und im WAN Netzwerk ebenfalls IPv6 aktiviert sowie den Präfix gesetzt.
Dann checke als erstes ob das WAN Interface auch eine globale IPv6 erhalten bzw. ein Prefix vom DHCPv6 des Providers erhalten hat. Bei der DG kann das durchaus 15 Minuten dauern. Bei Änderung der MAC am WAN auch länger!
Mein QNAP Nas bekommt nun auch ne lokale IPv6 Adresse. Wie kriege ich dieses nun dazu, dass es ne richtige IPv6 Adresse bekommt, jemand evtl. hier ne Ahnung?
Stelle mal die QNAP nicht auf DHCPv6 (statefull) sondern SLAAC (stateless / Stateless Addres Autoconfiguration), bei der Einstellung oben macht die LAN-Intern die Verteilung sicher stateless ohne DHCPv6 wobei sich die Clients per Neighbor Solicitation und Advertisments die globalen Adressen anhand des vom Router advertisten Prefix selbst auswählen.

Achtung: Der DHCPv6 Server der deutschen Glasfaser ist sehr empfindlich, wählerisch und langsam was Adressvergabe anbelangt!
Siehe dazu auch den aktuellen Beitrag zum Thema DHCPv6 der DG
Deutsche Glasfaser + Routerwechsel (Bintec) + kein IPv6
72-dpijunkie
72-dpijunkie Dec 14, 2021 at 17:01:05 (UTC)
Goto Top
Hallo hacktor,
Ich hab's gerade auch gemerkt und auf SLAAC gestellt. Mein NAS hat nun endlich eine IPv6 Adresse.
Hat tatsächlich ca. 5min gedauert, bis die IP zu sehen war.

Jetzt muss ich nur noch meinen Ubuntu v-server und 6tunnel einrichten.

Ich hab hierzu folgendes getan:

6tunnel installier:
apt-get install 6tunnel
Script erstellt:
nano /home/tunnels.sh

#!/bin/sh
sleep 20s
killall 6tunnel
sleep 10s
6tunnel 80 2dfc:0000:0001:0000:0217:cbff:fe8c:0000  80

Und hier kommt meine nächste Frage.. Wenn ich nun mein NAS über L2tp erreichen will.. muss ich welche Ports alle Freigeben? Und muss hier die IP-Adresse des Routers oder des NAS rein? Ich würde den L2TP Dienst am liebsten auf dem Router laufen lassen, weiß aber nicht ob Ubiquiti IPv6 kann? Sonst mache ich das über das NAS... Hier fehlt mir nen bisschen das KnowHow.. Könnte ich es so machen??

#!/bin/sh
sleep 20s
killall 6tunnel
sleep 10s
# Angenommen die folgende IP ist das NAS
6tunnel 500 2dfc:0000:0001:0000:0217:cbff:fe8c:0000  500
6tunnel 1701 2dfc:0000:0001:0000:0217:cbff:fe8c:0000  1701
6tunnel 50 2dfc:0000:0001:0000:0217:cbff:fe8c:0000  50
aqui
aqui Dec 14, 2021 updated at 17:10:26 (UTC)
Goto Top
Früher oder später werden...
Bei den jüngeren Billigprovidern sicher ja aber nicht bei denen die schon länger am Markt etabliert sind sicher nicht.
https://www.heise.de/newsticker/meldung/Das-war-s-mit-IPv4-Adressen-in-E ...
Was aber ganz sicher früher oder später wird, ist das das Internet gar keine IPv4 Adressen mehr nutzt und alles endlich vollständig auf IPv6 migriert ist.
Dann hat man soviel Adressen um auch alle Sandkörner auf der Erde und Mond adressieren zu können. Krücken wie NAT und DS-Lite sind dann endlich auch Geschichte !!

muss ich welche Ports alle Freigeben?
Wie immer wenn du die L2TP Ports meinst: IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Ich würde den L2TP Dienst am liebsten auf dem Router laufen lassen
Nichts leichter als das:
PfSense VPN mit L2TP (IPsec) Protokoll für mobile Nutzer
Scheitern am IPsec VPN mit MikroTik
Wozu der L2TP Overhead ? Wenn du das per IPv6 angebunden hast reicht doch ein simples IPsec VPN mit Transportverschlüsselung aus den Bordmitteln mit Strongswan ?!
149569
149569 Dec 14, 2021 updated at 17:15:16 (UTC)
Goto Top
Zitat von @72-dpijunkie:
Und hier kommt meine nächste Frage.. Wenn ich nun mein NAS über L2tp erreichen will.. muss ich welche Ports alle Freigeben? Und muss hier die IP-Adresse des Routers oder des NAS rein?
Achtung IPSec via IPv6 Transportadressen (UDP Encapsulation für IPv6) supporten nur aktuellste Kernel-Versionen (ab Kernel Version 5.8 verfügbar), das ist bei den Synos vermutlich nicht der Fall?!
72-dpijunkie
72-dpijunkie Dec 14, 2021 updated at 17:20:59 (UTC)
Goto Top
Zitat von @149569:

Zitat von @72-dpijunkie:
Und hier kommt meine nächste Frage.. Wenn ich nun mein NAS über L2tp erreichen will.. muss ich welche Ports alle Freigeben? Und muss hier die IP-Adresse des Routers oder des NAS rein?
Achtung IPSec via IPv6 Transportadressen (UDP Encapsulation für IPv6) supporten nur aktuellste Kernel-Versionen (ab Kernel Version 5.8 verfügbar), das ist bei den Synos vermutlich nicht der Fall?!

Ich verwende auf dem NAS: QTS 4.5.2.1594 (https://www.qnap.com/de-de/release-notes/qts/4.5.2.1594/20210302)
Krieg ich irgendwie raus ob der Kernel aktuell genug ist? face-sad

@aqui, ich habe keinen Mikrotik Router.. und mit pdfsense hab ich noch nie was gemacht.. ich habe aber gesehen, dass es das als docker container gibt. macht das sinn?

(am rande: ich bin nicht vom fach, also bitte nicht mit panzer auf spatzen schiessen) face-big-smile face-smile
149569
149569 Dec 14, 2021 updated at 17:27:30 (UTC)
Goto Top
Zitat von @72-dpijunkie:
Krieg ich irgendwie raus ob der Kernel aktuell genug ist? face-sad
Per SSH auf der Syno einloggen und ein
uname -r
in die Konsole eintippen.

Hier gibt es auch eine Liste der Kernel/Device
https://www.qnap.com/en/release-notes/kernel
72-dpijunkie
72-dpijunkie Dec 14, 2021 at 17:26:37 (UTC)
Goto Top
Zitat von @149569:

Zitat von @72-dpijunkie:
Krieg ich irgendwie raus ob der Kernel aktuell genug ist? face-sad
Per SSH auf der Syno einloggen und ein
> uname -a
> 
in die Konsole eintippen.

Hier gibt es auch eine Liste für die Hardware
https://www.qnap.com/en/release-notes/kernel

Ich muss leider kurz weg. Ich werde allerdings sobald ich wieder Zuhause bin berichten.
Danke erstmal.
72-dpijunkie
72-dpijunkie Dec 26, 2021 at 10:03:03 (UTC)
Goto Top
Frohe Weihnachten zusammen,
ich habe nun folgendes getan:

Die IPv6 Adresse im vserver für 6tunnel eingetragen:

6tunnel 1194 2dfc:0000:0001:0000:0217:cbff:fe8c:0000  1194
(natürlich die richtige)

Folgende Firewalleinstellungen in meinem Router gesetzt:

screenshot_1

Aber ich bekomme Partou keine Verbindung. Ich hab die IPv4 Adresse des vServers in der OpenVPN config eingetragen.

Irgendwie bin ich zu blöde... Hat jemand ne Idee? Ausser Ubiquiti auszumisten?

LG
149569
149569 Dec 26, 2021 updated at 20:23:59 (UTC)
Goto Top
Du solltest dich mal eingehend belesen wie IPv6 arbeitet und warum ICMPv6 für eine erfolgreiche Kommunikation zwingend erforderlich ist.
Grundlagen aneignen, verstehen und selbst das Ziel erarbeiten bringt dir letztendlich am Meisten, als copy n paste.
aqui
aqui Dec 27, 2021 at 09:48:46 (UTC)
Goto Top
aqui
aqui Jan 06, 2022 at 09:47:58 (UTC)
Goto Top
Wenn's das denn war bitte dann nicht vergessen den Thread auch zu schliessen !
How can I mark a post as solved?