72-dpijunkie
Goto Top

Routing Deutsche Glasfaser IPv6 (Carrier-grade NAT)

Hallo zusammen,

ich bin (immernoch) dabei einen OpenVPN Server auf IPv6 Basis mit einem Deutsche Glasfaser Anschluss aufzusetzen, leider ohne Erfolg.

Zu meiner Hardware: Ich benutze eine DreamMachine Pro von Ubiquiti und mein ISP hat leider Carrier-grade NAT.
Ich habe einen vServer mit 6tunnel eingerichtet, welchen ich aber vorerst einmal ausblende.


Ich will erstmal versuchen ob das Routing funktioniert. Dazu bin ich an einem anderen DSL Anschluss. Ich bekomme in dem Netzwerk
auch eine IPv6 Adresse. Wenn ich nun tracert auf meine IPv6 Adresse mache erhalte ich folgendes Routing:

screenshot_2

Mir wurde in einem anderen Forum das sich speziell auf Ubiquiti beschränkt gesagt, dass das Routing nicht richtig arbeitet.
Da so Zitat:

Die Adresse 2a00:6020:ffff:ffff::20 müsste mit der Adresse deiner ETH8 (WAN) Schnittstelle übereinstimmen

-> Das hat nichts mit deinem Prefix zu tun oder der Adresse auf der du den Trace ausgeführt hast, diese muss aber übereinstimmen.



Um es kurz zu machen: Du hast korrekt ein Präfix bekommen von der Deutschen Glasfaser, aber die Deutsche Glasfaser bekommt es nicht gebacken diesen mit ihren eigenen Routern bis zu Dir durchzurouten (so sieht es für mich zumindest aus)

Das Thema hatte ich mit ein paar anderen DG Kunden bereits und leider sind die dort auch nicht sehr kompetent und Einsichtig was eine Problemlösung auf deren Seite entspricht.

Ich bin leider absolut kein Fachmann und bin für jeden Denkanstoß dankbar. Ich möchte einfach nur irgendwie wieder per VPN auf mein
Heimnetz zugreifen face-big-smile

Bitte nehmt mich nicht gleich auseinander..
LG

Content-ID: 1763328209

Url: https://administrator.de/forum/routing-deutsche-glasfaser-ipv6-carrier-grade-nat-1763328209.html

Ausgedruckt am: 22.12.2024 um 07:12 Uhr

aqui
aqui 26.01.2022 aktualisiert um 10:59:53 Uhr
Goto Top
Das hier:
https://www.heise.de/select/ct/2018/13/1529374309620058
https://www.heise.de/ratgeber/OpenVPN-Vernetzung-mit-IPv4-und-IPv6-41628 ...
hast du zu dem Thema gelesen ?

Das das Traceroute abbricht sollte dich nicht beunruhigen und muss nicht zwingend ein Zeichen einer ggf. falschen v6 Adressierung sein. Viele Provider blockieren ICMP auf ihren Infrastruktur Routern was dann zu solchen Fehlermeldungen führt wenn ICMP verwendet wird. Ein TCP Traceroute wäre dann zielführender.
Vermutlich blockiert auch deine Firewall eingehende ICMPv6 Echo Requests wie es bei Firewalls ja üblich ist auf extern exponierten Interfaces so das ein v6 Ping oder Traceroute deiner Firewall natürlich scheitert. Leider machst du ja zu deinen v6 Firewall Settings in Bezug auf ICMP keinerlei zielführende oder hilfreiche Aussagen und zwingst uns zur Kristallkugel. face-sad
Ein v6 Ping deiner Zieladresse ist ggf. sinnvoller wenn dein Endgerät (Firewall) eingehende ICMPv6 Echo Requests erlaubt.
Was ergibt z.B. ein ping -6 www.heise.de oder ein v6 Traceroute auf diese Adresse ?
72-dpijunkie
72-dpijunkie 26.01.2022 aktualisiert um 11:06:36 Uhr
Goto Top
Hallo aqui, danke für die schnelle Antwort.
Meine Firewall Settings für den OpenVPN Server bringen dich nicht weiter oder?

f18208097-screenshot-1

Ports sind 1194 (Standard) und Die IP-Adress Group beinhaltet die Öffentliche IPv6 Adresse des OpenVPN Servers.

Aktuell bin ich auf der Arbeit, dann bringt mir der ping nichts oder? Ich hab ihn hier einmal auf Heise.de und einmal auf meine Adresse Zuhause gemacht:

ping6


*** EDIT

ganz vergessen, die Heise Beiträge hatte ich gelesen, ja.
aqui
aqui 26.01.2022 aktualisiert um 11:27:01 Uhr
Goto Top
bringen dich nicht weiter oder?
Nicht wirklich.... face-sad
Keiner weiss welches Interface mit dem Screenshot gemeint ist...
  • Das WAN Interface der Firewall ?
  • Das interne OpenVPN Tunnel Interface
Das kann vermutlich nur ein anderer UBQT Geschädigter beantworten.

Das du den Heise Server pingen und tracerouten kannst zeigt das dein IPv6 generell sauber funktioniert.
Das du deine eigene Firewall WAN IP nicht pingen kannst kann, wie oben bereits gesagt, mehrere Ursachen haben.
  • Firewall Regelwerk blockt ICMPv6
  • lokales v6 Routing
Sinnvoll um das zu checken ist da mal ein Ping oder Traceroute mit Angabe deiner öffentlichen v6 WAN Port IP als Source IP Adresse auf z.B. die Heise Ziel IP.
So kannst du feststellen ob ein Ping mit deiner WAN IP als Source am Ziel ankommt.
Firewalls haben sowas in ihren Diagnostics Menüs wie hier z.B. eine pfSense/OPNsense Firewall:
v6ping
Das kann aber natürlich nur dann klappen wenn das Firewall Regelwerk am WAN Port ICMPv6 passieren lässt oder, sollte das nicht der Fall sein, du verwendest alternativ ein TCP Protokoll basiertes Ping Tool.
72-dpijunkie
72-dpijunkie 26.01.2022 aktualisiert um 11:22:24 Uhr
Goto Top
Sorry, hatte nicht richtig gelesen:

fw1

fw2
LordGurke
LordGurke 26.01.2022 aktualisiert um 15:33:16 Uhr
Goto Top
Wie ist denn die Ubiquiti-Maschine ans Internet angebunden? Direkt am ONT angeschlossen oder ist da noch irgendeine andere Hardware dazwischen?

Und zu der zitierten Diagnose, das Netz wäre nicht korrekt zu dir geroutet:
Das hättest du gemerkt, wenn dem wirklich so wäre. Dann hättest du nämlich quasi keinen Internetzugriff auf irgendwelche Online-Dienste.
Die Diagnose ist also auf den ersten Blick erstmal falsch face-wink
72-dpijunkie
72-dpijunkie 27.01.2022 um 09:15:56 Uhr
Goto Top
Moin Zusammen,
ich habe nun Zugriff auf mein NAS. Ich hab einfach mal zum testen den Webgui Port 8080 geöffnet und von einem anderen Netz aus probiert auf das NAS zu kommen. Hat wunderbar funktioniert. Ich hab den 8080 natürlich gleich wieder geschlossen.

Jetzt habe ich das Problem, dass ich mich immer noch nicht per OpenVPN verbinden kann. Ich finde auch nirgends eine Angabe ob "QVPN" das ist der QNAP eigene VPN Server, IPv6 unterstützt? Reicht es in der Config irgendwas abzuändern? Muss die IPv6 Adresse in Klammern in der Config? Ich steh nen bisschen auf dem Schlauch.

Hat jmd. da evtl. nen Lösungsansatz?
Zu der Aufbaufrage, ich habe den Anschlusspunkt, daran hängt der ONT und dann kommt schon die UDM Pro von Ubiquiti.
72-dpijunkie
72-dpijunkie 27.01.2022 um 09:19:09 Uhr
Goto Top
Nachtrag: Ich hab gerade was gefunden. Es scheint als würde es NICHT supported. Ein Unser hat allerdings nen BashScript geschrieben was das ganze ermöglicht.

https://github.com/Xenyr/OpenVPNWrapper

Macht das Sinn?
aqui
aqui 03.02.2022 aktualisiert um 10:19:36 Uhr
Goto Top
dass ich mich immer noch nicht per OpenVPN verbinden kann.
Alle Schritte des hiesigen OpenVPN Tutorials hast du entsprechend umgesetzt ??
WAS sagt das Log des OpenVPN Servers wenn du mit einem Client zugreifst ?
72-dpijunkie
72-dpijunkie 06.02.2022 um 12:45:48 Uhr
Goto Top
Moin zusammen...

ich bin leider immer noch nicht durch mit meinem VPN.

Nachdem ich festgestellt habe, dass QNAP kein IPv6 mit dem Hauseigenen VPN unterstützt habe ich nen Raspberry den ich noch rumliegen hatte in Betrieb genommen und PiVPN nach folgendem Tutorial für IPv6 eingerichtet:


Vorarbeit: https://blog.helmutkarger.de/raspberry-pi-vpn-teil-5-vorarbeiten-fuer-ei ...

Einrichtung: https://blog.helmutkarger.de/raspberry-pi-vpn-teil-6-vpn-server-unter-ip ...


Wenn ich nen manuelles Update an deSEC durchführe, wird die richtige WAN IPv6 übermittelt und ich bekomme auch nen Success..

Leider kann ich mich aber nicht per VPN verbinden.


Ich vermute, dass es an der Firewall Regel in meiner UDMPro liegt.


Wie habt ihr das realisiert oder habt ihr einen Tipp? Ich bin das Thema echt leid face-sad

screenshot_1
LordGurke
LordGurke 06.02.2022 um 12:59:07 Uhr
Goto Top
Um die Firewall zu testen, lausche mit tcpdump auf dem Raspberry (als root) und gucke nach, ob eingehende Pakete kommen:

tcpdump -i ens3.... -nn "port 1194 || icmp6"  

Das "ens3...." musst du durch den Namen des Netzwerk-Interface ersetzen.
Dann versuchst du, den Tunnel aufzubauen und dann siehst du ja, ob eingehende Pakete kommen und ob es Antworten gibt.
72-dpijunkie
72-dpijunkie 06.02.2022 aktualisiert um 13:31:58 Uhr
Goto Top
Es ist tatsächlich etwas passier face-smile

sudo tcpdump -i eth0 -nn "port 1194 || icmp6"  

tcpdump: verbose output suppressed, use -v[v]... for full protocol decode

listening on eth0, link-type EN10MB (Ethernet), snapshot length 262144 bytes

13:27:07.104321 IP6 2a00:6020:XXX > ffXX: I   CMP6, neighbor solicitation, who has 2a00:XX, length 32
13:27:07.104442 IP6 2a00:6020:XXX > 2a00:XX: ICMP6, neighbor advertisement, tgt is 2a00:XX, length 32
13:27:07.120270 IP6 2a00:6020:XX > 2a00:XX  .1194: UDP, length 54
13:27:07.120368 IP6 2a00:XX > 2a00:XX : ICMP6, destination unreachable, unreachable port, 2a00:XX 

Hilft das?


*** EDIT


8 packets captured
8 packets received by filter
0 packets dropped by kernel
LordGurke
LordGurke 06.02.2022 um 13:36:41 Uhr
Goto Top
Das hilft - das heißt nämlich, dass deine Firewall die Pakete durchlässt (drittes Paket), dein Raspberry aber "unreachable Port" meldet. Das tut er nur, wenn auf dem Port kein Server lauscht.

Hast du in der OpenVPN-Server-Config explizit "proto udp6" angegeben? Sonst lauscht OpenVPN nur auf IPv4.
Kannst du auch nachsehen mit "ss -lnup" - wenn OpenVPN nur an die IP "0.0.0.0" gebunden ist, wird nur auf IPv4 gelauscht.
72-dpijunkie
72-dpijunkie 06.02.2022 um 13:47:53 Uhr
Goto Top
Woher wisst ihr sowas immer face-big-smile face-smile Wenn ich nur halb so viel Wissen hätte.. mann mann mann...

Es scheint mir so als würde er auf 0.0.0.0 gebunden sein?

vpn000

Ich hatte allerdings in der Config explizit folgendes gesetzt:

vpn


Was mache ich falsch ? face-sad
LordGurke
LordGurke 06.02.2022 um 13:55:51 Uhr
Goto Top
Liest der OpenVPN-Server denn wirklich diese Config-Datei? Gerade ältere Anleitungen gehen teilweise davon aus, dass das die einzig richtige Config ist - mit Einzug von Systemd stimmt das aber eben nicht mehr zwingend.
Du kannst nachsehen, mit welchen Parametern dein Server gestartet ist - da sollte theoretisch auch der Config-Pfad auftauchen:
ps ax | grep -F "openvpn"  
systemctl | grep -F "openvpn"  
72-dpijunkie
72-dpijunkie 06.02.2022 um 14:01:12 Uhr
Goto Top
screenshot_2

Bearbeitete Datei: /etc/openvpn/server.conf
Benutzte Datei: /etc/openvpn/server.conf

Hmm.. sollte passen.. Kann ich die config neu einlesen z.B. durch neustart des Prozesses oder einen reboot?
Und würde das evtl. was bringen?
LordGurke
Lösung LordGurke 06.02.2022 um 14:02:42 Uhr
Goto Top
Du kannst den Dienst einmal mit
systemctl restart openvpn@server.service
neustarten, das liest die Config dann neu ein.
Wenn nach Bearbeiten der Config kein Neustart des Dienstes kommt, werden die Änderungen natürlich nicht übernommen - vielleicht ist das schon das Problem face-smile
72-dpijunkie
72-dpijunkie 06.02.2022 um 14:05:41 Uhr
Goto Top
restart

Hmm..face-sad Noch eine Idee?
LordGurke
LordGurke 06.02.2022 um 14:09:29 Uhr
Goto Top
Dienste kannst du nur als root neustarten face-wink
LordGurke
LordGurke 06.02.2022 um 14:11:29 Uhr
Goto Top
Aber, halt, Moment... Jetzt lauscht OpenVPN scheinbar auf IPv6 - da steht nicht mehr "0.0.0.0", da steht jetzt "*".

Ich habe übersehen, dass du nach einem Kennwort gefragt wurdest, ich benutze sonst immer andere Distributionen und die zerschellen einfach ohne weitere Nachfrage daran face-big-smile
72-dpijunkie
72-dpijunkie 06.02.2022 um 14:12:04 Uhr
Goto Top
Hups face-smile
Hat aber leider nichts bewirkt face-sad


sudo
72-dpijunkie
72-dpijunkie 06.02.2022 um 14:13:20 Uhr
Goto Top
ES LÄUFT face-smile DANKE
Ich hab sooo lange daran gesessen und jetzt läufts face-smile

Wirklich.. Danke face-smile

~closed
LordGurke
LordGurke 06.02.2022 um 14:15:07 Uhr
Goto Top
You're welcome face-smile