Server an IPv6 Anschluss. Hosts erreichbar machen
Hallo zusammen,
ich musste meinen Server kurzfristig zu meiner Freundin stellen da die Wohnung umgebaut wird. Was ich nicht bedachte habe, im Gegensatz zu meinen Dual-Stack Zuhause hat sie einen IPv6-Aanschluss bei Vodafone. Ich glaube das nennt sich DS-Lite. Da gibt es natürlich kein Portforwarding
Ich skizziere mal kurz was ich habe. Zuhause hängt mein Server direkt an einem Technicolor-Kabelmodem was mit besagtem Vodafone-Anschluss verbunden ist. Aus dem Server (Proxmox) läuft eine pfSense die mittels HA-Proxy die HTTPS-Anfragen auf verschiedene VM's verteilt.
Ich habe mich mit IPv6 noch nicht wirklich beschäftigt. Die IPv4-Adresse die mir "wieistmeineip" anzeigt ist ja, soweit ich weiß die vom Tunnel-Gateway vom Provider. Sprich mit dieser kann ich ja nichts anfangen.
Mein erstes Problem beginnt, denke ich zumindest bei Strato. Ich habe für jede lokale VM die erreichbar sein soll dort eine entsprechende Subdomain angelegt und die IPv4 Adresse eingetragen. Eine IPv6 Adresse kann ich bei Strato nicht setzen. Zumindest habe ich nicht gefunden.
Habe ich irgend eine Möglichkeit meine Hosts wieder von extern zu erreichen? Eine, zugegeben sehr kurze, Suche im Web brachte mir die Erkenntnis dass ich eine Tunnel-Software benötige. Davon habe ich allerdings keine Ahnung da ich das noch nie gemacht habe.
Beste Grüße
pixel24
ich musste meinen Server kurzfristig zu meiner Freundin stellen da die Wohnung umgebaut wird. Was ich nicht bedachte habe, im Gegensatz zu meinen Dual-Stack Zuhause hat sie einen IPv6-Aanschluss bei Vodafone. Ich glaube das nennt sich DS-Lite. Da gibt es natürlich kein Portforwarding
Ich skizziere mal kurz was ich habe. Zuhause hängt mein Server direkt an einem Technicolor-Kabelmodem was mit besagtem Vodafone-Anschluss verbunden ist. Aus dem Server (Proxmox) läuft eine pfSense die mittels HA-Proxy die HTTPS-Anfragen auf verschiedene VM's verteilt.
Ich habe mich mit IPv6 noch nicht wirklich beschäftigt. Die IPv4-Adresse die mir "wieistmeineip" anzeigt ist ja, soweit ich weiß die vom Tunnel-Gateway vom Provider. Sprich mit dieser kann ich ja nichts anfangen.
Mein erstes Problem beginnt, denke ich zumindest bei Strato. Ich habe für jede lokale VM die erreichbar sein soll dort eine entsprechende Subdomain angelegt und die IPv4 Adresse eingetragen. Eine IPv6 Adresse kann ich bei Strato nicht setzen. Zumindest habe ich nicht gefunden.
Habe ich irgend eine Möglichkeit meine Hosts wieder von extern zu erreichen? Eine, zugegeben sehr kurze, Suche im Web brachte mir die Erkenntnis dass ich eine Tunnel-Software benötige. Davon habe ich allerdings keine Ahnung da ich das noch nie gemacht habe.
Beste Grüße
pixel24
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 8177026772
Url: https://administrator.de/forum/server-an-ipv6-anschluss-hosts-erreichbar-machen-8177026772.html
Ausgedruckt am: 22.12.2024 um 10:12 Uhr
66 Kommentare
Neuester Kommentar
Zitat von @pixel24:
Ich habe mich mit IPv6 noch nicht wirklich beschäftigt. Die IPv4-Adresse die mir "wieistmeineip" anzeigt ist ja, soweit ich weiß die vom Tunnel-Gateway vom Provider. Sprich mit dieser kann ich ja nichts anfangen.
Ich habe mich mit IPv6 noch nicht wirklich beschäftigt. Die IPv4-Adresse die mir "wieistmeineip" anzeigt ist ja, soweit ich weiß die vom Tunnel-Gateway vom Provider. Sprich mit dieser kann ich ja nichts anfangen.
Moin,
Mit der v4-Adresse zwar nciht, aber wieistmeineip.de zeigt Dir auch die v6-Adresse an. das ist dei IP-Adresse, auf diie Du Dich verbinden kannst, wenn du das vom Server aus abfragst. per dyndns kannsr Du sogar die v6-Adresse aktuell halten, um immer die korrekte zu nehmen.
Mein erstes Problem beginnt, denke ich zumindest bei Strato. Ich habe für jede lokale VM die erreichbar sein soll dort eine entsprechende Subdomain angelegt und die IPv4 Adresse eingetragen. Eine IPv6 Adresse kann ich bei Strato nicht setzen. Zumindest habe ich nicht gefunden.
Doch geht auch (AAAA-Record).
Habe ich irgend eine Möglichkeit meine Hosts wieder von extern zu erreichen? Eine, zugegeben sehr kurze, Suche im Web brachte mir die Erkenntnis dass ich eine Tunnel-Software benötige. Davon habe ich allerdings keine Ahnung da ich das noch nie gemacht habe.
Per v6 sollte das gehen. Mußt du nur im Router freischalten. Alternativ eine vm las jumphost für v4-VPNs nehmen.
lks
Zitat von @pixel24:
Danke schon mal für die Hilfe trotz der Tatsache dass ich nicht groß selbst recherchiert habe.
Danke schon mal für die Hilfe trotz der Tatsache dass ich nicht groß selbst recherchiert habe.
Immer wieder gerne.
Ok, bei "wieistmeineip" wird mir eine IPv6-Adresse angezeigt. Diese habe ich jetzt zum testen bei Strato in den AAAA-Record eingetragen. Wenn es dann funktioniert muss ich prüfen ob der DDNS-Client den ich nutze (Strato auf der pfSense) auch IPv6 kann.
Aufpassen. Die v6-Adresse gilt nur für das System, von dem Du aus die Webseite aufrufst, d.h. wenn Du es von einem Client aufruft, ist das die vom Client.d7e v6-Adressen haben i.d.R auch eine begrenzte "Lebensdauer", sofern Du beim sever nicht einstellst, daß er sich nicht dauernd eine neue würfeln soll.
Und Du mußt natürlich deinem Router oder Deiner Firewall sagen, daß die Adresse von draußen kontaktiert werden darf.
Wenn ich die Subdomain, bei welcher ich den AAAA-Record gesetzt habe, nun von einem externen Gerät mit Dig auflöse wird mir auch diese IPv6-Adresse angezeigt.
An der pfSense ist die Option (Erweiterte Einstellungen):
IPv6 erlauben [x]
Das ist o.k
aktiv. Daneben gibt es noch die Option:
IPv6 over IPv4 Tunnelung [ ]
welche inaktiv ist.
Das auch
In der Schnittstellen-Konfiguration für die WAN-Schnitstelle habe ich DHCP6 gewählt. Danach hat das WAN-Interface welches ja an der ConnectBox hängt eine IPv6-Adresse bekommen.
Gibt es jetzt noch weitere Änderungen die ich anpassen muss? Ich hoffe mal die internen VM's können auf IPv4 bleiben.
Du mußt bezüglich den Präfix, den Fu von Vodafone bekommst an di internen Systeme verteilen.
lks
@Lochkartenstanzer:
IPV6 ist zwar nett, wird aber kaum geroutet von dem Providern, bitte das nicht zu vergessen
grüße
IPV6 ist zwar nett, wird aber kaum geroutet von dem Providern, bitte das nicht zu vergessen
grüße
wird aber kaum geroutet von dem Providern
Das ist lange passe! Heute sind eher Provider die kein v6 können die hinter dem Mond lebenden Exoten! So gut wie alle die DS-Lite anbieten oder erzwingen routen prinzipbedingt v6. Allein die gesamten Mobilfunknetze LTE und 5G basieren vollständig auf v6.Wenn man einen Dual Stack Anschluss hat sollte man v6 darauf auch aktivieren.
https://www.heise.de/ratgeber/Netzwerk-Management-Warum-Admins-auf-IPv6- ...
Ok, bei "wieistmeineip" wird mir eine IPv6-Adresse angezeigt.
Bedenke auch das sich diese IPv6 Adressen an Consumer Anschlüssen je nach Provider alle Naslang ändern. Das ist bedingt durch die dynamische IPv6 Prefix Delegation (PD) und gilt sowohl für DS-Lite als auch Dual Stack Consumer Anschlüsse! DDNS und CNAME ist ggf. dein Freund.Desweiteren werden an DS-Lite prinzipbedingt nur IPv6 Clients deine Server erreichen können nicht aber IPv4 Clients. Kollege @Lochkartenstanzer sagte es oben ja schon. IPv4 erfordert einen Jumphost.
Das solltest du auf dem Radar haben...
In der ConnectBox kann ich eine IPv6 Exposed eintragen
Exposed? Du hast auf dem Radar das es kein NAT bei IPv6 gibt? Kein NAT kein exposed Host. Der Server hat lokal eine öffentliche IPv6 (Prefix Delegation). Du erstellst lediglich nur eine Firewall Regel das du für die Host v6 IP Zugang von außen erlaubst. Hier z.B. für die Fritzbox:
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-6360/845_IPv6-Frei ...
Zitat von @godlie:
@Lochkartenstanzer:
IPV6 ist zwar nett, wird aber kaum geroutet von dem Providern, bitte das nicht zu vergessen
@Lochkartenstanzer:
IPV6 ist zwar nett, wird aber kaum geroutet von dem Providern, bitte das nicht zu vergessen
Das wäre mir aber neu, daß die kein v6 routen. Es ist inzwischen zum Glück eher die Ausnahme als die Regel, daß die ISPs kein v6 können. Ich gebe zwar zu, daß man dem ein oder andere ISP-Supporter noch v6 erklären muß, aber die meisten kennen zumindest die Grundlagen.
lks
IPv6 Host Exposure
In der Connect Box steht dazu:
"Verbinden Sie entfernte Computer mit Ihrem privaten Netzwerk. Verwenden Sie Host Exposure, um die Verbindung mit einem bestimmten Gerät zu steuern."
Hier kann man einen Port(Bereich) und eine MAC Adresse eintragen. Hier habe ich 443 für HTTPS gewählt sowie die MAC-Adresse des pfSense WAN-Interface. Ist das korrekt?
Auf der pfSense, also der nächsten Station (Router) wollte ich jetzt noch:
IPv6 über IPv4 Tunneling aktivieren
aktiviert. Die Erklärung zur Option:
"Diese Optionen erzeugen einen RFC 2893-kompatiblen Mechanismus für die IPv4 NAT-Kapselung von IPv6-Paketen, der dazu verwendet werden kann, IPv6-Pakete über IPv4-Routing-Infrastrukturen zu tunneln. Die IPv6-Firewall-Regeln sind also erforderlich, um den gekapselten Datenverkehr zu kontrollieren und weiterzuleiten."
Allerdings muss ich dort noch einen Wert für:
IPv4 Adresse der Tunnelgegenstelle
eintragen. Hier habe ich jetzt die IPv4 Adresse die mir "wieistmeineip" angezeigt wird eingetragen. Diese ist ja die Tunnel-Gegenstelle wenn ich das richtig verstanden habe.
Nope
1. Du betreibst eine Router/Firewall-kaskade.
2. Deine Router/firewalls und Deine internenen Netze sollten alle ipv6 konfiguriert haben.
3. Dein Internetrouter muß die v6-Netze hinter der pfsense kennen, d.h. dafür Routingeinträge haben
4. Dein Host brauch eine öffentliche v6-Adresse, die es durch die delegierten prefix der an die pfsense weitgerreicht werden sollte festgelegt wird. Diese IP-Adresse sollte von außen erreichbar sein.
lks
3. Dein Internetrouter muß die v6-Netze hinter der pfsense kennen, d.h. dafür Routingeinträge haben
Bzw. die Prefix Delegation des Providers an die pfSense weitergeben wie hier bei einer Fritze: IPv6: pfSense hinter Fritz!Box 6360 (Kabel Deutschland)
https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fri ...
https://www.kuerbis.org/2023/03/ipv6-im-heimnetz-mit-pfsense-und-dynamis ...
brauchen keine IPv6 Konfiguration, oder?
Wie willst du sie dann mit einem DS-Lite Anschluss von extern erreichen? IPv4 geht ja prinzipbedingt nicht bei DS-Lite wie dir oben mehrfach erklärt wurde.Die pfSense macht ja hier weiterhin NAT
Nur für IPv4, nicht für v6.und setzt die ankommenden Anfragen mit dem HA-Proxy auf die internen IPv4 Adressen um?
Du meintest sicher... "und setzt die ankommenden IPv4 Anfragen mit dem HA-Proxy auf die internen IPv4 Adressen um?"Da es aber bei einem DS-Lite Anschluss CG-NAT bedingt niemals "ankommende IPv4 Anfragen" geben kann sondern einzig nur ankommende IPv6 Anfragen ist da auch nix IPv4 technisches was die FW umsetzen kann. Eine v4 v6 Protokolltranslation macht sie ganz sicher nicht.
Zitat von @pixel24:
Ich lese gerade den Artikel für Kabel Deutschland -> FB -> pfSense.
Aber die Hosts hinter der pfSense die ich erreichen möchte (Jellyfin, Nextcloud, OX ...) brauchen keine IPv6 Konfiguration, oder? Die pfSense macht ja hier weiterhin NAT und setzt die ankommenden Anfragen mit dem HA-Proxy auf die internen IPv4 Adressen um?
Ich lese gerade den Artikel für Kabel Deutschland -> FB -> pfSense.
Aber die Hosts hinter der pfSense die ich erreichen möchte (Jellyfin, Nextcloud, OX ...) brauchen keine IPv6 Konfiguration, oder? Die pfSense macht ja hier weiterhin NAT und setzt die ankommenden Anfragen mit dem HA-Proxy auf die internen IPv4 Adressen um?
Da liegst Du falsch. Wenn Du V6 nutzt, kannst Du zwar NAT(66) machen, a6ch wenn sas nich selten einer macht., aber das ist dann V6 NAT! Daher ist es egal, was Du auf der pfsense nutzt, die Hosts müssen V6 können.
lks
PS: https://blogs.infoblox.com/ipv6-coe/you-thought-there-was-no-nat-for-ipv ...
Wir hatten IPv6 in der Schule zwar angesprochen, jedoch nicht praktisch umgesetzt.
Sehr lesenswert dazu:https://danrl.com/ipv6/
Die Unterscheidung wie bei v4 (Öffentlich / Privat) gibt es in der Form bei v6 nicht.
Das stimmt so nicht! Siehe Workshop oben!Bei IPv6 sind das bekanntlich die ULAs (Unique Local Addresses)
https://de.wikipedia.org/wiki/IPv6#Unique_Local_Unicast
Bedeutet das für mich dass ich im LAN einen Network-Präfix nutzen soll/muss der innerhalb des vom Provider zugewiesenen liegt?
"Muss" nicht. Eigentlich gibt es kein NAT bei v6 aber du kannst es dennoch machen indem du z.B. interne statische ULAs wie bei IPv4 NATest. Ist zwar verpönt bei v6, geht aber.Ansonsten bekommst du über die Provider Prefix Delegation im LAN öffentliche v6 Adressen. Wegen deren Dynamik bei Consumer Anschlüssen musst du dann aber dort mit DDNS arbeiten. Anders sieht es aus wenn du bei dem Provider einen festen v6 Prefix beantragst was die sauberste Variante ist. Das geht meist kostenfrei.
Bedeutet dass ich benötige zwangsläufig einen Tunnelbrokers?
Jein! Du bekommst ja dann lokal zumindestens ein öffentliches IPv6 Netz (2a02:xxxx:2181:85e0:: /64) per PD dynamisch zugewiesen. Wenn du allerdings weitere Segmente benötigst ist das nicht so dolle und spricht nicht gerade für ein intelligentes PD des Providers. Theoretisch kann man ein /64er auch subnetten wenn du mehrere Segmente benötigst aber dann um den Verlust von einige IPv6 spezifischen Grundfunktionen die nur in den normierten /64 Netzen funktionieren.
Einen Tunnelbroker benötigst du immer nur dann wenn du partout kein IPv6 bekommst und in einer reinen v4 Welt lebst. Heute ja üblicherweise eher die Ausnahme.
Im Workshop habe ich gelernt: "Je größer das Präfix, desto kleiner das Netz"
Eine simple Binsenweisheit da ja nicht anders als wie bei IPv4! Das Präfix was die ConnectBox delegiert ist doch dass was ich in meinem LAN verwenden muss
Das ist richtig und Prinzip verstanden! Mal davon abgesehen das deine Endgeräte es per SLAAC schon von selber verwenden ohne ein "Muss". Die Server-VM's sollen ja keine automatische IPv6-Adressen erhalten:
Eigentlich nicht, denn SLAAC ist immer aktiv. Es sei denn du hast das entsprechend konfiguriert und deaktiviert oder verwendest statische Adressen. Ein "ip a" (unixoides OS) zeigt dir doch immer an was los ist. (ipconfig -all Winblows)Statische Adressen wäre aber ziemlich kontraproduktiv bei dynamischer PD, denn ändert sich die PD ändert sich auch sofort das lokale LAN in der v6 Adressierung und deine (alten) statischen v6 Adressen sind unerreichbar...oder dann woanders.
Das Vodkafön allerdings nur ein mickriges /64er per PD vergibt ist schon eher eine Ausnahme. Andere Provider sind da deutlich großzügiger und verteilen in der Regel kleinere Präfixes.
In anderen Quellen habe ich gelesen dass man für die Server keine automatische Konfiguration mittels SLAAC verwenden soll.
Das ist per se natürlich auch richtig. Warum sollten dort auch andere Kriterien gelten als bei IPv4?! Allerdings in einem dynamischen PD Umfeld steckst du dann in einem Dilemma weil sich dein lokales v6 Netzwerk ja alle Naslang ändert.
Guckst du dazu auch hier:
https://www.heise.de/select/ct/2018/19/1536650923067816
Zitat von @pixel24:
... Dementsprechend muss die veränderte globale Adresse für jeden Host der erreichbar sein soll mit DDNS in den AAAA-Record beim Domainhoster eingetragen werden.
... Dementsprechend muss die veränderte globale Adresse für jeden Host der erreichbar sein soll mit DDNS in den AAAA-Record beim Domainhoster eingetragen werden.
Das ist einfacher, wenn man seinen eigenen Nameserver betreibt, ggf unter einer Subdomain.
lks
zunächst mal eine ULA-Addresse einrichtet
Dann setzt du aber das NAT Konzept um was ULAs auf die öffentliche WAN IP NATet. Sprich also exakt wie bei v4 nur mit v6.Danach würde man dann globale Adressen zusätzlich konfigurieren.
Das wäre dann sinnfrei. Das sind ja die v6 IPs die sich alle Naslang durch den wechselnden PD ändern. Andere globale v6 IPs hast du doch gar nicht.welches von Vodafone delegiert wird, dynamisch auf meine Server VM's bekommen.
Indem du einen verkleinerten PD deinerseits auf deine Firewall weitergibt und die dann als /64er an seine lokalen LANs und dann an deine VMs.https://www.altmetaller.de/ipv6-pfsense-hinter-fritzbox-6360-kabel-deuts ...
https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fri ...
https://www.heimnetz.de/anleitungen/router/avm-fritzbox/fritzbox-ipv6-pf ...
Usw. usw.
Diese Option habe ich jedoch auf der ConnectBox nicht.
Typisch für diese billigen Plaste Schrottrouter die es als Provider Dreingabe gibt. Die können nix und davon sollte man genau aus den Gründen die Finger lassen. Damit gehen dann deine Chancen gegen Null...
und es scheint mit dieser ConnectBox nicht zu funktionieren.
Was hattest du denn ernsthaft von solch einem Elektroschrott erwartet?? Einen full featured Router?Das ist mit deiner Installation zuhause keineswegs zu vergleichen in Bezug auf die Features. Das ist so als wenn du von einem AMG Mercedes in eine Seifenkiste steigst.
Warum das Präfix /128 ist verstehe ich nicht. Das müsste doch /64 sein, oder?
Das ist vermutlich eine Laune der Anzeige bei dieser Box. Normalerweise hat eine reine Host Adresse im IPv4 ja auch einen /32er Präfix. Gleiches gilt dann bei einer v6 Hostadresse mit einem /128er Präfix.Ist vermutlich eher ein kosmetische Anzeigethema ob man das mit dem Netz- oder dem Hostpräfix anzeigt.
Ich vermute mal die PD von Vodafone ist abhängig vom Tarif und in diesem Fall ja /64
Wäre bei dem Provider nicht groß verwunderlich. Ein /64er per PD zu bekommen ist eher unüblich. Telekom und andere verteilen einen /56er Präfix womit man 256 v6 Netze adressieren könnte.Das bedeutet dass ich kein Subnetting betreiben kann richtig?
Jein. Auch ein /64er kannst du subnetten allerdings funktionieren dann klassische Dinge wie SLAAC usw. nicht mehr da die auf einen klassischen /64er Präfix ausgelegt sind (EUI-64).Ich habe gelernt das Router verschiedene Subnetze trennt.
Der tiefere Sinn eines Routers... 😉Das bedeutet doch dann das ich die neue FB in den Bridge-Modus setzen muss
Nein. Warum sollte es das bedeuten??! Du kannst doch prinzipiell beliebig viele Router hintereinader kaskadieren und die einzelnen Netze routen. Dafür sind Router ja gemacht.Das "Problem" ist die "sparsame" PD mit einem /64. Warum Vodafone da so überaus knauserig ist und nur ein Subnetz rausgibt an Kunden wissen wohl nur die selber. Die meinen sicher das normale Consumer nicht mehr als ein einziges v6 Netz brauchen. In 95% der Fälle stimmt das vermutlich auch weil diese 95% nicht mal wissen wie man IPv6 schreibt...
was ich bei IPv6 nicht nachvollziehen kann warum es so ist
Das wurde dir oben aber schon mehrfach erklärt.Der Provider stößt regelmässig eine neue Prefix Delegation an was dir denn einen neuen /62er Prefix und damit neue v6 Adressen beschert.
Kannst du auch leicht selber verifizieren wenn du die FB einmal kurz vom VDSL abziehst, bis 3 zählst und wieder ansteckst.
Damit solltest du einen neuen Prefix und damit neue v6 IPs bekommen.
Da die pfSense die Adressen nach intern verteilt müsste ich das doch auf der pfSense einrichten, richtig?
Richtig! Guckst du auch hierFortlaufenden Interface Index nicht vergessen!
Zitat von @pixel24:
Ja, das der Provider das tut habe ich schon verstanden. Warum er es tut ist mir nicht klar. Es gibt doch bei IPv6 unfassbar viele Adressen.
Das wurde dir oben aber schon mehrfach erklärt.
Der Provider stößt regelmässig eine neue Prefix Delegation an was dir denn einen neuen /62er Prefix und damit > neue v6 Adressen beschert.
Der Provider stößt regelmässig eine neue Prefix Delegation an was dir denn einen neuen /62er Prefix und damit > neue v6 Adressen beschert.
Ja, das der Provider das tut habe ich schon verstanden. Warum er es tut ist mir nicht klar. Es gibt doch bei IPv6 unfassbar viele Adressen.
Moin,
Ganz einfach: Er will statische Präfixe gegen Geld verkaufen.
Wenn der Präfix dauernd wechselt, kannst Du lokal keine Internetservices laufen lassen, die darauf angewiesen sind, längere Zeit unter der gleichen IP-Adresse zu laufen, zumindest wenn naiv die Sache angeht.
Außerdem wird das als Sicherheitsfeature verkauft, so ähnlich wie früher sich die v4-Adressen sich dauernd geändert haben und man damit sich nicht auf ein Ziel "einschießen" konnte.
Letztendlich könnten die Provider tatsächlich jdem einen fixen Präfix geben, machen sie aber nicht, weil so so mehr Geld verdienen wollen.
lks
D
Moin,
Dyndns bei Strato funktioniert auch mit ipv6
https://www.strato.de/faq/hosting/so-einfach-richten-sie-dyndns-fuer-ihr ...
lks
Zitat von @pixel24:
Ja, ich denke nicht dass es statisch ist. Es wird sich ändern, wenn auch nicht oft. Zuhause (Auch Vodafone, allerdings: Cable Max 1000 mit IPv4) war die IP auch oft mehrere Wochen gleich, aber dann plötzlich eine andere.
Ich werde Morgen im pfSense-Forum fragen ob jemand Strato, sowie einen Anschluss mit dynamischer IPv6, hat. Die geänderte IP soll dynamisch in den AAA-Record. Es funktioniert mit IPv4 doch auch, nur eben mit dem A-Record und der IPv4-Adresse.
Besten Dank für die Hilfe!
Ja, ich denke nicht dass es statisch ist. Es wird sich ändern, wenn auch nicht oft. Zuhause (Auch Vodafone, allerdings: Cable Max 1000 mit IPv4) war die IP auch oft mehrere Wochen gleich, aber dann plötzlich eine andere.
Ich werde Morgen im pfSense-Forum fragen ob jemand Strato, sowie einen Anschluss mit dynamischer IPv6, hat. Die geänderte IP soll dynamisch in den AAA-Record. Es funktioniert mit IPv4 doch auch, nur eben mit dem A-Record und der IPv4-Adresse.
Besten Dank für die Hilfe!
Moin,
Dyndns bei Strato funktioniert auch mit ipv6
https://www.strato.de/faq/hosting/so-einfach-richten-sie-dyndns-fuer-ihr ...
lks
Zitat von @pixel24:
Das ist natürlich Quatsch. Ich habe noch keine Möglichkeit gefunden dass die pfSense hierfür die automatisch an den entsprechenden Client durchgereichte IPv6-Adresse nutzt.
Das ist natürlich Quatsch. Ich habe noch keine Möglichkeit gefunden dass die pfSense hierfür die automatisch an den entsprechenden Client durchgereichte IPv6-Adresse nutzt.
Du mußt auf jedem Client, dessen ip-Adresse per DNS Auflösung sein soll den dyndns-client verwenden. Oder per entralem Skript aus dem Präfix und der zugeordneten lokalen hostadresse dir die v6-adresse zusammenbauen und und dem dyndnsserver mitteilen.
lks
habe ich auf der FB für IPv6 die WAN-Adresse (IPv6) der pfSense als Exposed-Host eingerichtet.
Da solltest du besser etwas Vorsicht walten lassen!! Damit kann die ganze Welt auf deine Fritzbox per v6 zugreifen. Sicher keine gute Idee diesen Haken zu setzen!!Jetzt muss ich noch irgendwie das Thema DDNS hin bekommen.
Ist auf einem Linux Rechner ja eine Kleinigkeit. Denke daran das es auf dem Host direkt gemacht werden muss und nicht auf dem Router/Firewall! Du sprichst bei v6 ja immer direkt den Host an und nicht den Router/Firewall.Da an der FB ja keine IPv4 anliegt bzw. vom Provider zur Verfügung gestellt wird
Das ist so nicht richtig und weisst du auch selber. Da liegt sehr wohl eine IPv4 Adresse an allerdings ist das wegen des CG-NATs auf Providerseite eine im Internet nicht geroutete RFC 1918 oder RFC 6598 IP Adresse. Siehe in das FB Dashboard!Das ich meine Systeme nicht über alte DSL-Anschlüsse erreiche ist klar da diese IPv6 nicht unterstützen.
Auch das stimmt so nicht bzw. ist falsch formuliert. Die meisten Anschlüsse sind heutzutage Dual Stack Anschlüsse oder eben DS-Lite. Wenn aber zumindestens bei Dual Stack Anschlüssen deren Besitzer IPv6 im Router oder Firewall gar nicht aktivieren gibt es im internen LAN natürlich auch keine IPv6 Adresse und deine Verbindung scheitert, das ist klar. Wie z.B. DU bei deinen pfSense Freunden.Hier aber dann von "alt" zu sprechen und das diese v6 "nicht unterstützen" ist zumindestest aus Netzwerk Sicht sicher unglücklich und nicht korrekt ausgedrückt.
Bei einigen Freunden, diese besitzen Vodafone-Anschlüsse die IPv6 unterstützen, habe ich als Router eine pfSense installiert.
Das ist dann aber eine peinliche Angelegenheit für dich, denn denen hast du dann schlicht und einfach durch deine falsche Firewall Konfiguration die IPv6 Funktion vorenthalten. Jetzt möchte ich bei denen natürlich nicht einen kompletten Duals-Stack mit IPv4 und IPv6 einrichten.
Dann mal los, denn das war ja kein Ruhmesblatt für dich als Netzwerker: 🧐Haken setzen in den Advanced Settings und das WAN Interface auf Tracking setzen hätte es ganz einfach aktiviert!
Lokale LAN Indices dann je nach Anzahl der lokalen Interfaces von 0 aufsteigend zuweisen:
Steht aber alles auch in der Netgate Doku für IPv6!
Zitat von @aqui:
liegt ein sehr sehr alter DSL-Anschluss an und da ist im Router nichts mit IPv6 zum aktivieren.
Das hat dann aber nix mit dem Anschluss per se zu tun sondern mit dem antiken Router den der Freund vergessen hat gegen ein modernes und aktuelles Modell zu tauschen! Es soll gerüchteweise aber da draußen noch (kleine) ISPs geben, denen man v6 immer noch erklären muß.
lks