OpenWRT mit Wireguard IPv6 im LAN

Hallo zusammen,

ich lerne gerade Ipv6. Dazu habe ich mir das Buch Ipv6-Workshop von Dan Lüdtke geholt, weil dort praktische Übungen drin sind.
Er benutzt aber als System ein Ubuntu 12.04 und ein Tunnelbroker, den es nicht mehr gibt.

Jetzt will ich ein IPv6 LAN einrichten, um die Übungen angehen zu können.

Deshalb habe ich mir ein Wireguard VPN Server bei Netcup aufgesetzt und will nun ein OpenWRT Router mit einem Wireguard Client, der mir IPv6 ins OpenWRT LAN gibt.
Dann kann ich dort mit beliebigen Clienten üben.


Bisher sieht die Sache so aus, dass der Wireguard Server funktioniert, wenn ich ein z.B. Windows 10 mit Wireguard Client benutze, funktioniert IPv4 und IPv6.

Mit Client benutzen, meine ich, dass ich z.B. auf Windows den Wireguard Clienten installiere und einen Tunnel hinzufüge.
Dann habe ich mit dem Windows 10 Client IPv4 und IPv6.
Ich kann z.B. mit ping -6 google.com in der CMD pingen.


Mein Problem:
Wenn ich den Wireguard Client auf einem OpenWRT Router aktiviere, dann geht im OpenWRT LAN nur IPv4.
Im Terminal von OpenWRT geht IPv6 auch.

In der OpenWRT Firewall habe ich mal alles auf Durchzug gestellt.


Der Wireguard Server hat eine statische IPv4 Adresse und eine IPv6 Adresse XXXX:XXXX:f:87f::1/64.

Hier die Daten zum Server:

Wenn ich den Client im OpenWRT Router LAN hinzufüge, dann bekomme ich nur IPv4 im LAN.
Könnt ihr mir helfen, was ich konfigurieren muss, um Wireguard Server IPv6 auch im OpenWRT LAN zu haben?

Hier die Konfigurationen vom OpenWRT Router:

/etc/config/network:

/etc/config/dhcp:

/etc/config/firewall:

Wie schon erwähnt, kann ich IPv6 pingen, wenn ich den Wireguard Client direkt auf Windows 10 laufen habe:

OpenWRT selbst kann IPv6 pingen und DNS auflösen in IPv6:

Ich weiß nur nicht, wie ich OpenWRT dazu bringe, im LAN das IPv6 von Wireguard so zur Verfügung zu stellen, wie IPv4.

Grüße
FISI

Content-Key: 667550

Url: https://administrator.de/contentid/667550

Ausgedruckt am: 24.07.2021 um 05:07 Uhr

Mitglied: aqui
aqui 13.06.2021 aktualisiert um 14:50:04 Uhr
Goto Top
Statt des Tunnelbrokers vom v6 Workshop kannst du auch den von Hurricane nehmen:
https://www.tunnelbroker.net
Ist identisch.
Ggf. hast du auch einen Internet Provider an deinem Heimrouter der schon einen Dual Stack Betrieb anbietet wie z.B. die Telekom. Dann brauchst du Broker gar nicht.
Gut mit deinem IPv6 Ansatz über WireGuard geht das natürlich auch.
Der Wireguard Server hat eine statische IPv4 Adresse und eine IPv6 Adresse
Aber dein wg0 Interface hat keine gültige öffentliche v6 Adresse. Stattdessen nutzt es eine im Internet unroutebare Unique_local_address im Bereich fc00::/7
Diese entspricht den bei v4 privaten RFC 1918 IP Adressen und werden im Internet nicht geroutet. Damit scheitert dann natürlich ein v6 Internet Zugriff auf öffentliche v6IPs.
Mitglied: FISI-Lehrling
FISI-Lehrling 13.06.2021 aktualisiert um 15:16:20 Uhr
Goto Top
Hallo aqui,

Zitat von @aqui:
Ggf. hast du auch einen Internet Provider an deinem Heimrouter der schon einen Dual Stack Betrieb anbietet.
Leider nicht, weshalb ich ein IPv6 LAN einrichten will.
Ich muss auch sagen, dass das garnicht schlecht ist, dass ich es nun so mache.
Jetzt habe ich ein paar Komponenten mehr drin und mich interessiert nun das Problem mit dem IPv6 LAN, hinter einem Wireguard VPN.

Aber dein wg0 Interface hat keine gültige öffentliche v6 Adresse. Stattdessen nutzt es eine im Internet unroutebare Unique_local_address im Bereich fc00::/7
Diese entspricht den bei v4 privaten RFC 1918 IP Adressen und werden im Internet nicht geroutet. Damit scheitert dann natürlich ein v6 Internet Zugriff auf öffentliche v6IPs.
Dazu muss ich anmerken, dass ich deshalb die Wireguard Clienten auch direkt auf Windows 10 getestet habe.
Dort habe ich wie beschrieben kein Problem.

Ist exakt die gleiche Config.

Die unterschiedlichgen Scopes (IPv6 Scope) waren mir bekannt, als ich die Frage gepostet habe und als ich den OpenWRT Router mit Wireguard eingerichtet habe.

Ich hoffe es gibt hier ein OpenWRT Speziallisten, der mir die Klicks und Configs sagen kann, dass das IPv6 vom Wireguard Server auch im OpenWRT LAN "erstrahlt".

Es wäre auch kein Problem den IPv6 Adressbereich des Wireguard mit den Global Scope Adressen zu erweitern oder zu ersetzen aber es wäre schön, wenn das jemand erklären könnte, wie und warum es dann funktioniert.

Wenn es nur funktionieren soll, dann könnte ich auch auf dem Ubuntu ein Wireguard Client installieren, dann wird es wahrscheinlich wie bei Windows 10 mit IPv4 und IPv6 funktionieren,

Grüße
FISI
Mitglied: aqui
aqui 13.06.2021 aktualisiert um 17:37:18 Uhr
Goto Top
Sorry, war im Eifer des Gefechts auch etwas missverstanden, denn es geht dir ja rein nur um eine IPv6 Adressverteilung an die Clients im LAN wenn man den Thread richtig versteht. Den WG Tunnel an sich kann der OpenWRT ja problemlos etablieren.

Dafür gibt es 2 Optionen einmal mit DHCPv6:
config dhcp lan
option dhcpv6 server
option ra server

Oder aber mit SLAAC
config dhcp lan
option dhcpv6 disabled
option ra server

Oben in deiner Konfig machst du es ja über die Option DHCPv6 allerdings sieht die Konfig keine Hochkommans vor wie bei dir. Ggf. ein Fehler ?!

Die Frage die sich stellt ist WELCHE v6 IP Adresse bekommen denn deine am LAN Port des Routers angeschlossenen Clients und wie sieht es mit Gateway und DNS aus ?
Diese Info fehlt leider.
Das sollte ja laut deiner Interface Konfig eine v6 Adresse aus dem fd8e:7cd3:b012::1/60 Netz sein.
Dadurch das du im Wireguard Client ein Gateway Redirect machst und kein Split Tunneling wird ja der gesamte OpenWRT IP Traffic bei aktivem WG Tunnel so oder so komplett in den Tunnel geroutet. Hier wäre ein ip route show bei aktivem Tunnel sehr hilfreich.
Mitglied: FISI-Lehrling
FISI-Lehrling 14.06.2021 aktualisiert um 14:08:00 Uhr
Goto Top
Hallo aqui,

danke für die Rückmeldung.

Zitat von @aqui:
Oben in deiner Konfig machst du es ja über die Option DHCPv6 allerdings sieht die Konfig keine Hochkommans vor wie bei dir. Ggf. ein Fehler ?!

Ich habe in OpenWRT alles über die GUI eingefügt.
Die Configs wurden vom System erstellt.
Deshalb kann ich zu den Hochkommas nichts weiter sage. Ich gehe davon aus, dass die so sein müssen, weil wie gesagt, das System die Configs generiert hat.

bild_01

Den Wireguard Client habe ich nach der Anleitung eingefügt:
https://www.youtube.com/watch?v=0_zQAp3V18c

Hier das ip route show vom OpenWRT:

und ip -6 route show vom OpenWRT:

und traceroute6 vom OpenWRT aus:


Und hier vom Windows 10 die ipconfig.
Wie du schon richtig vermutet hast, sind hier IPv6 fd8e:

Grüße
FISI
Mitglied: aqui
aqui 14.06.2021 um 18:13:32 Uhr
Goto Top
Hier das ip route show vom OpenWRT:
Wie du sicher auch selber siehst ist das technisch auch absolut korrekt. Das Default Gateway ist fpr IPv4 und auch v6 der WG Tunnel. So wie es ja auch laut Konfig sein soll. Routingtechnisch ist das also absolut OK.

Auch was die IPv6 Adressierung der Endgeräte im lokalen OpenWRT LAN anbetrifft ist das alles sauber und korrekt so. v6 Adresse ist aus dem fd8e:7cd3:b012::1/60 Netz wie es sein soll.

Spannend wäre jetzt einmal die Frage wenn du auf dem Windows Rechner eine direkte IPv6 Internet Adresse angibst beim Pingen um einmal v6 DNS Problemen aus dem Rege zu gehen und ob das klappt.
Also ein ping -6 2a00:1450:4001:80f::200e (Google)
Interessant auch ein v6 Ping auf die interne und externe v6 Adresse des remoten Servers bei Netcup.
Kann der Client diese IPs pingen, wovon mal auszugehen ist, zeigt das das der Fehler nur beim Übergang ins IPv6 Internet oder beim v6 DNS liegen kann. Gut, DNS Problematiken kann man immer einfach ausklammern wenn man direkt v6 IP Adressen als Ziel pingt wie oben empfohlen.

2 Dinge sind zu klären:
1.)
Du verwendest ja in deinem Netz v6 ULA Adressen die so im Internet nicht routebar sind ! Diese v6 Adressen dürfen also niemals im Internet auftauchen weil sonst eine Rückroute technisch unmöglich wäre. Das ist so als wenn man v4 RFC 1918 IPs verwendet. Technisch unmöglich.
Das lässt nur den alleinigen Schluss zu das dein v6 Server, der den WG Tunnel bedient, NAT macht also deine unroutebaren ULA Adressen auf seine öffentlich und damit routebare v6 Provideradresse per NAT umsetzt.
NAT und IPv6 ist eigentlich ein NoGo weil nicht wirklich definiert aber zum Testen mit Einschränkungen machbar.
Wenn ein interner v6 Ping problemlos klappt aber v6 Adressen im Internet nicht ist es möglich das das lokale v6 LAN nicht oder nicht sauber über das v6 NAT/Masquerading am Server ins Internet geht.
Das musst du einmal mit tcpdump genau checken.
2.)
Der OpenWRT gibt sich selber als v6 DNS den Endgeräten aus. OK, wenn er als v6 Proxy DNS rennt. Das er selber v6 Hostnamen auflösen kann siehst du ja selber am v6 Traceroute. Wichtig ist nur sicherzustellen das er auch als Proxy DNS arbeitet.
Mit nslookup oder dig ist das ja schnell prüfbar.

Das natürlich generell v6 Forwarding im OpenWRT aktiviert sein muss nehmen wir mal als gegeben an.
Diese Ping Tests solltest du also nochmal machen.
ULA Adressen sind natürlich enerell bei Internet Zugang keine wirklich gute Idee weil es eben NAT erfordert was es bei IPv6 eigentlich nicht gibt.
Du bekommst ja ein /60er Prefix von deinem Provider geroutet und solltest auch /64er Subnetze aus diesen /60er Kontingent nutzen damit es v6 technisch sauber ist.
Wie bereits gesagt: Testweise rennt das natürlich auch mit v6 NAT. Produktiv sollte man damit nicht gehen.
Mitglied: FISI-Lehrling
FISI-Lehrling 15.06.2021 aktualisiert um 09:53:06 Uhr
Goto Top
Hallo aqui,

danke an der Stelle, erstmal für deine Zeit und Hilfe.
Für mich ist vieles von IPv6 natürlich noch völlig neu und unklar.

Nachdem ich im OpenWRT keine globale IPv6 Adresse sehe, habe ich nicht verstanden, warum ich im OpenWRT öffentliche IPv6 pingen kann.
Dachte dass das nicht geroutet wird.
Aber verstehe ich das richitg dass es da auch ein NAT gibt?

Spannend wäre jetzt einmal die Frage wenn du auf dem Windows Rechner eine direkte IPv6 Internet Adresse angibst beim Pingen um einmal v6 DNS Problemen aus dem Rege zu gehen und ob das klappt.
Also ein ping -6 2a00:1450:4001:80f::200e (Google)


Der gleiche Fehler kommt, wenn ich die 2003:XXXX:XXXX global scope anpinge, vom Server anpinge.

Auch wenn ich die IPv6 des Wireguard (Server) von Windows aus anpinge kommt der Fehler:

Der Wireguard Server hat die fd42:42:42::1
Der Wireguard Client auf dem OpenWRT hat die fd42:42:42::2. Auch die kann ich von Windows aus, nicht anpingen.

Sieht so aus, wie wenn auf dem OpenWRT die IPv6 Funktionalität des Wireguard Tunnel endet.

Das natürlich generell v6 Forwarding im OpenWRT aktiviert sein muss nehmen wir mal als gegeben an.
Ja das ist aktiviert.



Grüße
FISI
Mitglied: aqui
aqui 15.06.2021 um 10:03:17 Uhr
Goto Top
habe ich nicht verstanden, warum ich im OpenWRT öffentliche IPv6 pingen kann.
Das hat die Mehrheit der Forencommunity hier sicher auch nicht verstanden, denn es ist so technisch natürlich unmöglich, da diese ULA Adressen bekanntlich nicht geroutet werden.
Einzig möglich Erklärung ist hier das der öffentliche Server Netzwerk Adress Translation der v6 Adressen ins Internet macht.
Der gleiche Fehler kommt, wenn ich die 2003:XXXX:XXXX global scope anpinge
Was passiert wenn du eine deiner eigenen fd... ULA Adressen am Server pingst ?!
Sieh dir am Server auch nochmal die v6 Routing Tabelle bei aktivem OpenWRT Wireguard Link an. Dort muss eine statische Route aktiv sein die dir das lokale LAN Netz am OpenWRT in den VPN Tunnel routet. Ansonsten weiss der Server ja nicht das er das lokale OpenWRT LAN fd8e:7cd3:b012::1/60 in den Tunnel routen soll.
Hier musst du mal etwas mit v6 Traceroutes checken.
Auch wenn ich die IPv6 des Wireguard (Server) von Windows aus anpinge kommt der Fehler:
Spannend wäre mal ein Traceroute auf diese IP wie weit der Ping kommt.
Der Fehler liegt sehr wahrscheinlich in deinem lokalen Routing. Dem Server ist das lokale OpenWRT LAN fd8e:7cd3:b012::1/60 vermutlich nicht bekannt so das die Rückroute fehlschlägt.
Mitglied: FISI-Lehrling
FISI-Lehrling 15.06.2021 aktualisiert um 10:24:56 Uhr
Goto Top
Ich sehe gerade, dass meine Aussage, dass das IPv6 im LAN nicht funktioniert nicht ganz stimmt.
Ich kann die fe80::20c:29ff:fe23:564d des OpenWRT Router von Windows aus anpingen.


Ein tracert -6 geht natürlich dann auch zu der IPv6 die ich anpingen kann aber bei der Wireguard Clint IPv6 des OpenWRT ist Ende.

Das hat die Mehrheit der Forencommunity hier sicher auch nicht verstanden, denn es ist so technisch natürlich unmöglich, da diese ULA Adressen bekanntlich nicht geroutet werden.
Kann das sein dass das eine Funktion des Wireguard Server ist.

Ich habe das alles nach Anleitungen eingerichtet und installiert. Den Wireguard Server auf einem Debain Server bei einem Hoster mit einem Script (https://github.com/angristan/wireguard-install). Den Wireguard Client auf OpenWRT nach dem Youtube Video.

Ich habe jetz auf dem Ubuntu und Windows direkt die Wireguard Clienten installiert und werde mit dem Buch weitermachen.
Ist im Moment noch eine Nummer zu hoch, mit dem OpenWRT und Wireguard IPv6.

Eventuell hat hier, einer der Profis mal Zeit und erstellt ein Tutorial mit Wireguard Server und ein OpenWRT mit Wireguard Client und zeigt dann die Schritte oder Configs, um das einzurichten, dass IPv4 und IPv6 im LAN voll funktionieren.

Grüße
FISI
Mitglied: FISI-Lehrling
FISI-Lehrling 15.06.2021 aktualisiert um 10:44:10 Uhr
Goto Top
Ich habe das mal auf dem Ubuntu angeschaut und dort ist es wie auf dem OpenWRT.
Ich kann keine globale IPv6 sehen aber ich kann IPv6 von Google anpingen.


Auch DNS mit IPv6 funktioniert.

Aber klar, wenn es so im OpenWRT funktioniert hat, dann klappt das auch auf Ubuntu.
Das Problem war ja, dass bei dem Client in OpenWRT, diese Funktionalität, mit IPv6 nicht ins LAN weitergegeben wird.

Ich gehe mal, in meiner Unwissenheit, davon aus, dass das der Wireguard managed, dass ohne globale IPv6, mit IPv6 gearbeitet werden kann.

Grüße
FISI
Mitglied: aqui
Lösung aqui 15.06.2021 um 10:45:52 Uhr
Goto Top
Ich kann die fe80::20c:29ff:fe23:564d des OpenWRT Router von Windows aus anpingen.
Das ist klar und evident, denn die FE80 Adressen sind ja Link Local Adressen. Das entspricht den IPv4 APIPA oder Zeroconf Adressen 169.254.x.y.
Die sind aber fürs Routing nicht relevant ! Klar, denn sie gelten nur im jeweiligen Layer 2 Segment und sind nicht routebar. Es macht folglich dann also sehr wenig Sinn diese zu pingen und/oder zu tracerouten.
Kann das sein dass das eine Funktion des Wireguard Server ist.
Nein, niemals ! Sowas hat mit WireGuard nichts zu tun, das kann man einzig und allein nur im iptables Setup machen und ist immer Betriebssystem selber ! Siehe auch hier:
https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wiregu ...
Scripte sind immer gefährlich denn man sollte sich sowas immer VORHER genau ansehen was das Script macht. Immer ein NoGo wenn man nicht weiss was die auf einem System anrichten. Ganz sicher wird dort auch ein iptables Masquerading aktiviert ansonsten ist die Erreichbarkeit der öffentlichen v6 Adressen nicht zu erklären.
Ein iptables -S oder auch iptables -L zeigt dir alle aktiven Regeln an.
Übrigens: Ein Test Setup mit 2 Raspberry Pis nach deinem Design rennt hier fehlerfrei.
Eventuell hat hier, einer der Profis mal Zeit und erstellt ein Tutorial mit Wireguard Server
Gibt es schon längst. Siehe oben. Einfach mal die Suchfunkltion hier benutzen !! ;-) face-wink
Mitglied: FISI-Lehrling
FISI-Lehrling 15.06.2021 aktualisiert um 10:54:11 Uhr
Goto Top
ok danke, dann habe ich jetzt mal ne Menge zu lesen und zu testen.

Aber das https://administrator.de/tutorial/merkzettel-vpn-installation-mit-wiregu ... ist nur IPv4.
Das habe selbst ich verstanden :-) face-smile

Grüße
FISI
Mitglied: aqui
aqui 15.06.2021 aktualisiert um 11:01:17 Uhr
Goto Top
Ich kann keine globale IPv6 sehen aber ich kann IPv6 von Google anpingen.
Dann bleibt nur die Möglichkeit das der Hosting Provider intern an seine Kunden ULA Adressen vergibt und ein zentrales NAT irgendwo mach mit CGN.
Das wäre aber für IPv6 sehr ungewöhnlich.
ist nur IPv4.
Na ja mal ehrlich....da dann zusätzlich zu den v4 Adressen einfach noch ein paar v6 Adressen mit einem /64er Prefix dazuzutippen schafft ja auch der FiSi im ersten Lehrjahr ! ;-) face-wink
Ansonsten hier abgucken aber das Masquerading erstmal unbedingt weglassen !
Bzw. sieh in die Server Konfigs was genau dort in deinen Wireguard Setup Dateien steht !!
Mitglied: FISI-Lehrling
FISI-Lehrling 15.06.2021 um 11:13:20 Uhr
Goto Top
Na ja mal ehrlich....da dann zusätzlich zu den v4 Adressen einfach noch ein paar v6 Adressen mit einem /64er Prefix dazuzutippen schafft ja auch der FiSi im ersten Lehrjahr ! ;-) face-wink
Ja das bekomme ich hin :-) face-smile

Ich hatte mich schon gefreut, dass ich mir "kurz" die Umgebung, zusammenklicke und dann mit dem Buch weitermache.

Aber in der IT stellt man eine Frage, bekommt die zu einem Drittel beantwortet und hat dazu zehn neue Fragen.
Mitglied: aqui
aqui 15.06.2021 um 11:16:40 Uhr
Goto Top
bekommt die zu einem Drittel beantwortet und hat dazu zehn neue Fragen.
Willkommen im Club ! 🤣
Mitglied: FISI-Lehrling
FISI-Lehrling 15.06.2021 um 12:42:14 Uhr
Goto Top
aber das Masquerading erstmal unbedingt weglassen !
Das ist ein guter Hinweis. Danke.

Ich werde meine Trägheit überwinden und den Wireguardserver nicht mit einem Script aufsetzen sondern nach der von dir, in dem anderen Beitrag, verlinkten Anleitung https://meet-unix.org/2019-03-21-wireguard-vpn-server.html.
Mitglied: colinardo
colinardo 15.06.2021 aktualisiert um 13:01:13 Uhr
Goto Top
Servus @FISI-Lehrling ,
Ein wichtiger Hinweis zur Verwendung von IPv6 bei Netcup. Das Standardmäßig in einem Vertrag für einen einfachen vServer enthaltene IPv6 64er Präfix wird dort nicht komplett geroutet sondern die am vServer genutzte IPv6-Adresse wird im SCP bei Netcup statisch hinterlegt. Das führt dazu das wenn man mit anderen IPv6 Adressen dieses Präfix nicht ins globale IPv6 Netz kommt weil das vorgelagerte GW via NDP nur die im SCP definierte IP des Servers kennt. Möchte man dort trotzdem mit den anderen Adressen ins Netz muss man am vServer einen NDP Proxy einrichten (oder weniger sinnvoll, statisch im SCP eintragen). Für einzelne Adressen geht das bspw. mittels
ip neigh add proxy 2a03:XXXX:XXXX::X dev eth0
Damit reagiert der vServer per NDP auch auf die definierte Adresse mit seiner MAC.

Will man jetzt also das 64er Netz aufteilen um den globalen Adressraum an unterschiedlichen Interfaces zu nutzen, machst du das 64 Netz kleiner z.B. teilst es in 72er Netze auf.
Setzt also das WAN und das Wireguard-IF jeweils auf ein 72er Präfix damit der vServer die Netze routen kann. Am vServer setzt du dann bspw. noch eine Route zu einem weiteren 72er Netz dessen GW die interne IPv6-Adresse des OpenWRT-Routers im Wireguard Subnet ist, und weist im OpenWRT-Router dann dieses 72er Subnetz deinem internen Interface zu. Dort kannst du dann entweder manuell oder per DHCPv6 aus dem 72er Netz Adressen verteilen.

Zusätzlich bestellte IPv6 Subnetze bei Netcup (1€/Monat zus.) werden dagegen so wie es eigentlich sein sollte, komplett geroutet. Hier entfällt dann der NDP-Proxy, also Notlösung.

Grüße Uwe
Mitglied: aqui
aqui 15.06.2021 aktualisiert um 19:24:33 Uhr
Goto Top
Oha, auf solche fiese Fussfalle vom Provider muss man aber auch erstmal kommen... ;-) face-wink
Hilfreich wäre jetzt den WG Konfig File zu kennen sowohl Server als auch Client. Leider stochern wir da noch im Trüben...
Dennoch eine Frage dazu Uwe.
Der Windows WG Client sendet ja bei aktivem Tunnel mit einer fd42:42:42::X/64 Absender IP und bekommt damit eine weltweite v6 Verbindung wie man ja oben sieht. Ebenso der OpenWRT WG Client.
Wenn der vServer also lediglich eine einfache statische v6 IP bekommen hat, dann muss er ja zwangsweise ein v6 NAT machen am Providerport machen auf seine öffentliche v6 IP dort. Anders wäre die öffentliche v6 Connectivity der WG Clients ja sonst nicht zu erklären. Diese besteht ja nachweislich für den Windows als auch den OpenWRT Client wie man am obigen v6 Pingcheck zweifelsohne sieht.
Wenn der vServer aber so oder so alles was er am Provider WAN Port v6 NATet (SRCNAT, Masquerading) dann müsste rein routingtechnisch gesehen ja auch alle seine dahinter liegenden ULA Netze geNATet werden und damit auch v6 Connectivity haben. Eigentlich...
Mitglied: FISI-Lehrling
FISI-Lehrling 15.06.2021 aktualisiert um 18:10:08 Uhr
Goto Top
Zitat von @colinardo:

Servus @FISI-Lehrling ,
Ein wichtiger Hinweis zur Verwendung von IPv6 bei Netcup. Das Standardmäßig in einem Vertrag für einen einfachen vServer enthaltene IPv6 64er Präfix wird dort nicht komplett geroutet sondern die am vServer genutzte IPv6-Adresse wird im SCP bei Netcup statisch hinterlegt. Das führt dazu das wenn man mit anderen IPv6 Adressen dieses Präfix nicht ins globale IPv6 Netz kommt weil das vorgelagerte GW via NDP nur die im SCP definierte IP des Servers kennt. Möchte man dort trotzdem mit den anderen Adressen ins Netz muss man am vServer einen NDP Proxy einrichten (oder weniger sinnvoll, statisch im SCP eintragen). Für einzelne Adressen geht das bspw. mittels
ip neigh add proxy 2a03:XXXX:XXXX::X dev eth0
Damit reagiert der vServer per NDP auch auf die definierte Adresse mit seiner MAC.
Grüße Uwe

Danke dir für deine Info.
Da wäre ich nie drauf gekommen.

Grüße
FISI
Mitglied: colinardo
Lösung colinardo 15.06.2021 aktualisiert um 18:26:50 Uhr
Goto Top
Zitat von @aqui:
Dennoch eine Frage dazu Uwe.
Der Windows WG Client sendet ja bei aktivem Tunnel mit einer fd42:42:42::X/64 Absender IP und bekommt eine weltweite v6 Verbindung wie man ja oben sieht. Ebenso der OpenWRT WG Client.
Wenn der vServer also lediglich eine einfache statische v6 IP bekommen hat, dann muss er ja zwangsweise ein v6 NAT machen am Providerportmachen auf seine öffentliche v6 IP dort.
Ja sehe ich genau so. Da wird Knecht Ruprecht wohl ein SRCNAT auch auf die öffentliche IPv6 des vServers eingerichtet haben, anders kann ich mir den Schuh auch nicht erklären.
Heiß diskutierte Beiträge
question
RAM-Zugriff auf einem neuen High-Performance Server, teilweise um Welten langsamer als auf einer WorkstationMysticFoxDEVor 16 StundenFrageBenchmarks41 Kommentare

Moin Zusammen, mir ist gestern beim Optimieren eines neuen Servers eine Sonderheit aufgefallen, die ich mir so beim besten Willen, momentan absolut nicht erklären kann. ...

general
Kosten nicht gerechtfertigt? Dienstleister stellt Kosten für "Troubleshooting" bei Neuanschaffung von HCI + CoreSwitchDirty2186Vor 1 TagAllgemeinZusammenarbeit17 Kommentare

Hallo Zusammen, ich interessiere mich für Eure Meinung zu dem Thema Leistungsnachweise von Systemhäusern und Dienstleistern und deren Berechnung von Leistungen. Da sich hier ja ...

info
Phishing Mail mit schädlichen Images in freier Wildbahn (.IMG Datei)wolfbleVor 1 TagInformationViren und Trojaner12 Kommentare

Moin Moin an alle Gestern bekam ich eine EMail mit irgendwelchen komischen Sepa Einzugsankündigungen die man angeblich der angehängten Datei entnehmen kann. Ging so um ...

question
Listet Microsoft Default ACLs von Windows?DerWoWussteVor 1 TagFrageSicherheit18 Kommentare

Moin Kollegen. Nach dem Sicherheits-GAU "Hivenightmare" stellt sich mir die Frage, wie ich in Zukunft sicherstellen kann, dass die ACLs der Systemdateien in Windows korrekt ...

question
Erfahrungen mit CodeTwo Exchange Migration von 2016-2019dlohnierVor 1 TagFrageExchange Server18 Kommentare

Hallo, ich möchte unseren Exchange Server 2016 der noch auf WIndows 2016 läuft auf einen Server 2019 mit Exchange 2019 migrieren. Habe das Tool "CodeTwo ...

question
Doppelte A-Records in DNSBPeterVor 1 TagFrageWindows Server10 Kommentare

Hallo, unsere Windows Notebooks registrieren sich im DNS mit ihrer Lan- und Wlan Adresse. D.h. es gibt 2 gleiche Namen mit 2 unterschiedlichen IP-Adressen. Wie ...

question
AD-Domäne über VPN beitreten -Ist das möglich?EnrixkVor 1 TagFrageWindows Netzwerk9 Kommentare

Hallo, ich bräuchte mal einen Rat von einem Netzwerkprofi. Ich habe bei mir zuhause ein Heimnetzwerk mit AD-Domäne, entsprechenden Ordnerfreigaben, NAS und servergespeicherten Windows-Profilen. Wenn ...

question
Abschlussprojekt - FiSi gelöst VerbranntesHuhnVor 1 TagFrageWeiterbildung6 Kommentare

Hallo zusammen, ich bin derzeit auf der Suche nach einem Abschlussprojekt (max. 35 Stunden) - Abgabe des Antrags - Stichtag 02.08.2021. Ich weiß jedoch nicht ...