22
Routing Deutsche Glasfaser IPv6 (Carrier-grade NAT)
Hallo zusammen,
ich bin (immernoch) dabei einen OpenVPN Server auf IPv6 Basis mit einem Deutsche Glasfaser Anschluss aufzusetzen, leider ohne Erfolg.
Zu meiner Hardware: Ich benutze eine DreamMachine Pro von Ubiquiti und mein ISP hat leider Carrier-grade NAT.
Ich habe einen vServer mit 6tunnel eingerichtet, welchen ich aber vorerst einmal ausblende.
Ich will erstmal versuchen ob das Routing funktioniert. Dazu bin ich an einem anderen DSL Anschluss. Ich bekomme in dem Netzwerk
auch eine IPv6 Adresse. Wenn ich nun tracert auf meine IPv6 Adresse mache erhalte ich folgendes Routing:
Mir wurde in einem anderen Forum das sich speziell auf Ubiquiti beschränkt gesagt, dass das Routing nicht richtig arbeitet.
Da so Zitat:
Ich bin leider absolut kein Fachmann und bin für jeden Denkanstoß dankbar. Ich möchte einfach nur irgendwie wieder per VPN auf mein
Heimnetz zugreifen
Bitte nehmt mich nicht gleich auseinander..
LG
ich bin (immernoch) dabei einen OpenVPN Server auf IPv6 Basis mit einem Deutsche Glasfaser Anschluss aufzusetzen, leider ohne Erfolg.
Zu meiner Hardware: Ich benutze eine DreamMachine Pro von Ubiquiti und mein ISP hat leider Carrier-grade NAT.
Ich habe einen vServer mit 6tunnel eingerichtet, welchen ich aber vorerst einmal ausblende.
Ich will erstmal versuchen ob das Routing funktioniert. Dazu bin ich an einem anderen DSL Anschluss. Ich bekomme in dem Netzwerk
auch eine IPv6 Adresse. Wenn ich nun tracert auf meine IPv6 Adresse mache erhalte ich folgendes Routing:
Mir wurde in einem anderen Forum das sich speziell auf Ubiquiti beschränkt gesagt, dass das Routing nicht richtig arbeitet.
Da so Zitat:
Die Adresse 2a00:6020:ffff:ffff::20 müsste mit der Adresse deiner ETH8 (WAN) Schnittstelle übereinstimmen
-> Das hat nichts mit deinem Prefix zu tun oder der Adresse auf der du den Trace ausgeführt hast, diese muss aber übereinstimmen.
Um es kurz zu machen: Du hast korrekt ein Präfix bekommen von der Deutschen Glasfaser, aber die Deutsche Glasfaser bekommt es nicht gebacken diesen mit ihren eigenen Routern bis zu Dir durchzurouten (so sieht es für mich zumindest aus)
Das Thema hatte ich mit ein paar anderen DG Kunden bereits und leider sind die dort auch nicht sehr kompetent und Einsichtig was eine Problemlösung auf deren Seite entspricht.Ich bin leider absolut kein Fachmann und bin für jeden Denkanstoß dankbar. Ich möchte einfach nur irgendwie wieder per VPN auf mein
Heimnetz zugreifen
Bitte nehmt mich nicht gleich auseinander..
LG
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 1763328209
Url: https://administrator.de/contentid/1763328209
Printed on: April 26, 2024 at 09:04 o'clock
22 Comments
Latest comment
Das hier:
https://www.heise.de/select/ct/2018/13/1529374309620058
https://www.heise.de/ratgeber/OpenVPN-Vernetzung-mit-IPv4-und-IPv6-41628 ...
hast du zu dem Thema gelesen ?
Das das Traceroute abbricht sollte dich nicht beunruhigen und muss nicht zwingend ein Zeichen einer ggf. falschen v6 Adressierung sein. Viele Provider blockieren ICMP auf ihren Infrastruktur Routern was dann zu solchen Fehlermeldungen führt wenn ICMP verwendet wird. Ein TCP Traceroute wäre dann zielführender.
Vermutlich blockiert auch deine Firewall eingehende ICMPv6 Echo Requests wie es bei Firewalls ja üblich ist auf extern exponierten Interfaces so das ein v6 Ping oder Traceroute deiner Firewall natürlich scheitert. Leider machst du ja zu deinen v6 Firewall Settings in Bezug auf ICMP keinerlei zielführende oder hilfreiche Aussagen und zwingst uns zur Kristallkugel.
Ein v6 Ping deiner Zieladresse ist ggf. sinnvoller wenn dein Endgerät (Firewall) eingehende ICMPv6 Echo Requests erlaubt.
Was ergibt z.B. ein ping -6 www.heise.de oder ein v6 Traceroute auf diese Adresse ?
https://www.heise.de/select/ct/2018/13/1529374309620058
https://www.heise.de/ratgeber/OpenVPN-Vernetzung-mit-IPv4-und-IPv6-41628 ...
hast du zu dem Thema gelesen ?
Das das Traceroute abbricht sollte dich nicht beunruhigen und muss nicht zwingend ein Zeichen einer ggf. falschen v6 Adressierung sein. Viele Provider blockieren ICMP auf ihren Infrastruktur Routern was dann zu solchen Fehlermeldungen führt wenn ICMP verwendet wird. Ein TCP Traceroute wäre dann zielführender.
Vermutlich blockiert auch deine Firewall eingehende ICMPv6 Echo Requests wie es bei Firewalls ja üblich ist auf extern exponierten Interfaces so das ein v6 Ping oder Traceroute deiner Firewall natürlich scheitert. Leider machst du ja zu deinen v6 Firewall Settings in Bezug auf ICMP keinerlei zielführende oder hilfreiche Aussagen und zwingst uns zur Kristallkugel.
Ein v6 Ping deiner Zieladresse ist ggf. sinnvoller wenn dein Endgerät (Firewall) eingehende ICMPv6 Echo Requests erlaubt.
Was ergibt z.B. ein ping -6 www.heise.de oder ein v6 Traceroute auf diese Adresse ?
Hallo aqui, danke für die schnelle Antwort.
Meine Firewall Settings für den OpenVPN Server bringen dich nicht weiter oder?
Ports sind 1194 (Standard) und Die IP-Adress Group beinhaltet die Öffentliche IPv6 Adresse des OpenVPN Servers.
Aktuell bin ich auf der Arbeit, dann bringt mir der ping nichts oder? Ich hab ihn hier einmal auf Heise.de und einmal auf meine Adresse Zuhause gemacht:
*** EDIT
ganz vergessen, die Heise Beiträge hatte ich gelesen, ja.
Meine Firewall Settings für den OpenVPN Server bringen dich nicht weiter oder?
Ports sind 1194 (Standard) und Die IP-Adress Group beinhaltet die Öffentliche IPv6 Adresse des OpenVPN Servers.
Aktuell bin ich auf der Arbeit, dann bringt mir der ping nichts oder? Ich hab ihn hier einmal auf Heise.de und einmal auf meine Adresse Zuhause gemacht:
*** EDIT
ganz vergessen, die Heise Beiträge hatte ich gelesen, ja.
bringen dich nicht weiter oder?
Nicht wirklich.... Keiner weiss welches Interface mit dem Screenshot gemeint ist...
- Das WAN Interface der Firewall ?
- Das interne OpenVPN Tunnel Interface
Das du den Heise Server pingen und tracerouten kannst zeigt das dein IPv6 generell sauber funktioniert.
Das du deine eigene Firewall WAN IP nicht pingen kannst kann, wie oben bereits gesagt, mehrere Ursachen haben.
- Firewall Regelwerk blockt ICMPv6
- lokales v6 Routing
So kannst du feststellen ob ein Ping mit deiner WAN IP als Source am Ziel ankommt.
Firewalls haben sowas in ihren Diagnostics Menüs wie hier z.B. eine pfSense/OPNsense Firewall:
Sorry, hatte nicht richtig gelesen:
Wie ist denn die Ubiquiti-Maschine ans Internet angebunden? Direkt am ONT angeschlossen oder ist da noch irgendeine andere Hardware dazwischen?
Und zu der zitierten Diagnose, das Netz wäre nicht korrekt zu dir geroutet:
Das hättest du gemerkt, wenn dem wirklich so wäre. Dann hättest du nämlich quasi keinen Internetzugriff auf irgendwelche Online-Dienste.
Die Diagnose ist also auf den ersten Blick erstmal falsch
Und zu der zitierten Diagnose, das Netz wäre nicht korrekt zu dir geroutet:
Das hättest du gemerkt, wenn dem wirklich so wäre. Dann hättest du nämlich quasi keinen Internetzugriff auf irgendwelche Online-Dienste.
Die Diagnose ist also auf den ersten Blick erstmal falsch
Moin Zusammen,
ich habe nun Zugriff auf mein NAS. Ich hab einfach mal zum testen den Webgui Port 8080 geöffnet und von einem anderen Netz aus probiert auf das NAS zu kommen. Hat wunderbar funktioniert. Ich hab den 8080 natürlich gleich wieder geschlossen.
Jetzt habe ich das Problem, dass ich mich immer noch nicht per OpenVPN verbinden kann. Ich finde auch nirgends eine Angabe ob "QVPN" das ist der QNAP eigene VPN Server, IPv6 unterstützt? Reicht es in der Config irgendwas abzuändern? Muss die IPv6 Adresse in Klammern in der Config? Ich steh nen bisschen auf dem Schlauch.
Hat jmd. da evtl. nen Lösungsansatz?
Zu der Aufbaufrage, ich habe den Anschlusspunkt, daran hängt der ONT und dann kommt schon die UDM Pro von Ubiquiti.
ich habe nun Zugriff auf mein NAS. Ich hab einfach mal zum testen den Webgui Port 8080 geöffnet und von einem anderen Netz aus probiert auf das NAS zu kommen. Hat wunderbar funktioniert. Ich hab den 8080 natürlich gleich wieder geschlossen.
Jetzt habe ich das Problem, dass ich mich immer noch nicht per OpenVPN verbinden kann. Ich finde auch nirgends eine Angabe ob "QVPN" das ist der QNAP eigene VPN Server, IPv6 unterstützt? Reicht es in der Config irgendwas abzuändern? Muss die IPv6 Adresse in Klammern in der Config? Ich steh nen bisschen auf dem Schlauch.
Hat jmd. da evtl. nen Lösungsansatz?
Zu der Aufbaufrage, ich habe den Anschlusspunkt, daran hängt der ONT und dann kommt schon die UDM Pro von Ubiquiti.
Nachtrag: Ich hab gerade was gefunden. Es scheint als würde es NICHT supported. Ein Unser hat allerdings nen BashScript geschrieben was das ganze ermöglicht.
https://github.com/Xenyr/OpenVPNWrapper
Macht das Sinn?
https://github.com/Xenyr/OpenVPNWrapper
Macht das Sinn?
dass ich mich immer noch nicht per OpenVPN verbinden kann.
Alle Schritte des hiesigen OpenVPN Tutorials hast du entsprechend umgesetzt ??WAS sagt das Log des OpenVPN Servers wenn du mit einem Client zugreifst ?
Moin zusammen...
ich bin leider immer noch nicht durch mit meinem VPN.
Nachdem ich festgestellt habe, dass QNAP kein IPv6 mit dem Hauseigenen VPN unterstützt habe ich nen Raspberry den ich noch rumliegen hatte in Betrieb genommen und PiVPN nach folgendem Tutorial für IPv6 eingerichtet:
Vorarbeit: https://blog.helmutkarger.de/raspberry-pi-vpn-teil-5-vorarbeiten-fuer-ei ...
Einrichtung: https://blog.helmutkarger.de/raspberry-pi-vpn-teil-6-vpn-server-unter-ip ...
Wenn ich nen manuelles Update an deSEC durchführe, wird die richtige WAN IPv6 übermittelt und ich bekomme auch nen Success..
Leider kann ich mich aber nicht per VPN verbinden.
Ich vermute, dass es an der Firewall Regel in meiner UDMPro liegt.
Wie habt ihr das realisiert oder habt ihr einen Tipp? Ich bin das Thema echt leid
ich bin leider immer noch nicht durch mit meinem VPN.
Nachdem ich festgestellt habe, dass QNAP kein IPv6 mit dem Hauseigenen VPN unterstützt habe ich nen Raspberry den ich noch rumliegen hatte in Betrieb genommen und PiVPN nach folgendem Tutorial für IPv6 eingerichtet:
Vorarbeit: https://blog.helmutkarger.de/raspberry-pi-vpn-teil-5-vorarbeiten-fuer-ei ...
Einrichtung: https://blog.helmutkarger.de/raspberry-pi-vpn-teil-6-vpn-server-unter-ip ...
Wenn ich nen manuelles Update an deSEC durchführe, wird die richtige WAN IPv6 übermittelt und ich bekomme auch nen Success..
Leider kann ich mich aber nicht per VPN verbinden.
Ich vermute, dass es an der Firewall Regel in meiner UDMPro liegt.
Wie habt ihr das realisiert oder habt ihr einen Tipp? Ich bin das Thema echt leid
Um die Firewall zu testen, lausche mit tcpdump auf dem Raspberry (als root) und gucke nach, ob eingehende Pakete kommen:
Das "ens3...." musst du durch den Namen des Netzwerk-Interface ersetzen.
Dann versuchst du, den Tunnel aufzubauen und dann siehst du ja, ob eingehende Pakete kommen und ob es Antworten gibt.
tcpdump -i ens3.... -nn "port 1194 || icmp6" Das "ens3...." musst du durch den Namen des Netzwerk-Interface ersetzen.
Dann versuchst du, den Tunnel aufzubauen und dann siehst du ja, ob eingehende Pakete kommen und ob es Antworten gibt.
Es ist tatsächlich etwas passier 
Hilft das?
*** EDIT
8 packets captured
8 packets received by filter
0 packets dropped by kernel
sudo tcpdump -i eth0 -nn "port 1194 || icmp6"
tcpdump: verbose output suppressed, use -v[v]... for full protocol decode
listening on eth0, link-type EN10MB (Ethernet), snapshot length 262144 bytes
13:27:07.104321 IP6 2a00:6020:XXX > ffXX: I CMP6, neighbor solicitation, who has 2a00:XX, length 32
13:27:07.104442 IP6 2a00:6020:XXX > 2a00:XX: ICMP6, neighbor advertisement, tgt is 2a00:XX, length 32
13:27:07.120270 IP6 2a00:6020:XX > 2a00:XX .1194: UDP, length 54
13:27:07.120368 IP6 2a00:XX > 2a00:XX : ICMP6, destination unreachable, unreachable port, 2a00:XX Hilft das?
*** EDIT
8 packets captured
8 packets received by filter
0 packets dropped by kernel
Das hilft - das heißt nämlich, dass deine Firewall die Pakete durchlässt (drittes Paket), dein Raspberry aber "unreachable Port" meldet. Das tut er nur, wenn auf dem Port kein Server lauscht.
Hast du in der OpenVPN-Server-Config explizit "proto udp6" angegeben? Sonst lauscht OpenVPN nur auf IPv4.
Kannst du auch nachsehen mit "ss -lnup" - wenn OpenVPN nur an die IP "0.0.0.0" gebunden ist, wird nur auf IPv4 gelauscht.
Hast du in der OpenVPN-Server-Config explizit "proto udp6" angegeben? Sonst lauscht OpenVPN nur auf IPv4.
Kannst du auch nachsehen mit "ss -lnup" - wenn OpenVPN nur an die IP "0.0.0.0" gebunden ist, wird nur auf IPv4 gelauscht.
1
Woher wisst ihr sowas immer Wenn ich nur halb so viel Wissen hätte.. mann mann mann...
Es scheint mir so als würde er auf 0.0.0.0 gebunden sein?
Ich hatte allerdings in der Config explizit folgendes gesetzt:
Was mache ich falsch ?
Wenn ich nur halb so viel Wissen hätte.. mann mann mann...Es scheint mir so als würde er auf 0.0.0.0 gebunden sein?
Ich hatte allerdings in der Config explizit folgendes gesetzt:
Was mache ich falsch ?
Liest der OpenVPN-Server denn wirklich diese Config-Datei? Gerade ältere Anleitungen gehen teilweise davon aus, dass das die einzig richtige Config ist - mit Einzug von Systemd stimmt das aber eben nicht mehr zwingend.
Du kannst nachsehen, mit welchen Parametern dein Server gestartet ist - da sollte theoretisch auch der Config-Pfad auftauchen:
Du kannst nachsehen, mit welchen Parametern dein Server gestartet ist - da sollte theoretisch auch der Config-Pfad auftauchen:
ps ax | grep -F "openvpn"
systemctl | grep -F "openvpn" 
Bearbeitete Datei: /etc/openvpn/server.conf
Benutzte Datei: /etc/openvpn/server.conf
Hmm.. sollte passen.. Kann ich die config neu einlesen z.B. durch neustart des Prozesses oder einen reboot?
Und würde das evtl. was bringen?
Du kannst den Dienst einmal mit
neustarten, das liest die Config dann neu ein.
Wenn nach Bearbeiten der Config kein Neustart des Dienstes kommt, werden die Änderungen natürlich nicht übernommen - vielleicht ist das schon das Problem
systemctl restart openvpn@server.serviceWenn nach Bearbeiten der Config kein Neustart des Dienstes kommt, werden die Änderungen natürlich nicht übernommen - vielleicht ist das schon das Problem
2
Hmm..
Noch eine Idee?
Dienste kannst du nur als root neustarten
1
Aber, halt, Moment... Jetzt lauscht OpenVPN scheinbar auf IPv6 - da steht nicht mehr "0.0.0.0", da steht jetzt "*".
Ich habe übersehen, dass du nach einem Kennwort gefragt wurdest, ich benutze sonst immer andere Distributionen und die zerschellen einfach ohne weitere Nachfrage daran
Ich habe übersehen, dass du nach einem Kennwort gefragt wurdest, ich benutze sonst immer andere Distributionen und die zerschellen einfach ohne weitere Nachfrage daran
1
Hups
Hat aber leider nichts bewirkt
Hat aber leider nichts bewirkt
ES LÄUFT DANKE
Ich hab sooo lange daran gesessen und jetzt läufts
Wirklich.. Danke
~closed
DANKEIch hab sooo lange daran gesessen und jetzt läufts
Wirklich.. Danke
~closed
You're welcome