batonga
Goto Top

Wireguard Server - Dynamische IPv6

Hallo,
ich stehe schon länger vor einem Problem und finde nicht den richtigen Lösungsansatz.
Folgendes Szenario: Ich habe zu Hause einen OpenWRT Router und habe dort einen Wireguard Server am Laufen. Mein Provider ist die Telekom und ich bekomme ein dynamisches /56 IPv6 Subnetz. IPv4 läuft über Wireguard natürlich einwandfrei über NAT, aber für IPv6 müsste ich ja theoretisch andauernd den IPv6 Prefix bei allen Peers händisch anpassen. Zum Testen habe ich der Wireguard-Schnittstelle ein /64 Bereich zugeteilt und auf die Peers aufgeteilt, was auch - bis zur Erneuerung des IPv6 Prefixes durch den ISP - einwandfrei funkioniert.

NAT würde ich ungerne für IPv6 nutzen... ich habe mehrere Server im Heimnetz am Laufen, welche alle einen statischen IPv6 Suffix (z.B. 10) zugewiesen bekommen haben und die Traffic-Regeln dann per "negativer Netzmaske" (z.B. ::10/-64) die nötigen Ports öffnen. Das läuft auch einwandfrei, durch die negative Netzmaske auch nach der Erneuerung der IPv6. Die Server laufen aber unabhängig vom VPN in einem anderen /64 Subnetz. Die Wireguard-Peers brauchen nicht von außen erreichbar zu sein, sie sollen nur die Möglichkeit haben IPv6 Internethosts zu erreichen (nutze den Wireguard Server, wenn ich in öffentlichen WLAN-Netzen unterwegs bin).

Was gibts da jetzt noch für Möglichkeiten, um IPv6 bei Wireguard dauerhaft zum Laufen zu bekommen? Ich habe schon viel hier und in diversen anderen Foren danach gesucht, aber irgendwie nie eine Antwort dazu gefunden, oder sie nicht verstanden face-smile

OpenVPN kommt hier leider nicht in Frage, sonst hätte ich schon längst einfach einen Bridge-Adapter damit erstellt. Wireguard läuft nämlich auf meinem billigen Mini-Reiserouter (GL.iNet) - den ich unterwegs als VPN Client nutze - mit mehr als der dreifachen Datenrate wie OpenVPN, weshalb die Wahl auf Wireguard fiel... in Zukunft werde ich mir wohl einen höherwertigen Router fürs Reisen zulegen ^^

Vielen Dank schonmal im Voraus für eure Hilfe!

Content-Key: 3419447804

Url: https://administrator.de/contentid/3419447804

Printed on: May 20, 2024 at 16:05 o'clock

Mitglied: 2423392070
2423392070 Jul 23, 2022 at 06:54:09 (UTC)
Goto Top
Umstellung auf feste IP ist nicht eine Option?
Member: Batonga
Batonga Jul 23, 2022 updated at 07:03:00 (UTC)
Goto Top
Zitat von @2423392070:

Umstellung auf feste IP ist nicht eine Option?

Das geht leider bei normalen Telekom-Tarifen nicht, nur bei Geschäftskunden-Tarifen, die viel zu teuer sind (+50€/Monat extra, in meinem Fall).
Mitglied: 2423392070
2423392070 Jul 23, 2022 at 07:03:08 (UTC)
Goto Top
Company Flex MSN complete kostet mit 100/40 netto 29,99 ab dem 13. Monat.
2as zahlst Du jetzt?
Member: Batonga
Batonga Jul 23, 2022 updated at 07:24:02 (UTC)
Goto Top
Zitat von @2423392070:

Company Flex MSN complete kostet mit 100/40 netto 29,99 ab dem 13. Monat.
2as zahlst Du jetzt?

Ich habe zur Zeit MagentaZuhause Giga (1GBit/s) und zahle 80€/Monat. Der selbe Tarif mit fester IP wäre Company Pro 1000 für 130€/Monat (Netto, also sogar noch teurer als gedacht). Telekom ist zur Zeit der einzige Anbieter, der Glasfaser liefert.

Für die "Feste IP" habe ich mir einen Cloudserver für 2€/Monat gemietet. Da läuft OpenVPN drauf und darüber sind dann meine Webseiten etc erreichbar, die jetzt auf dem Server zu Hause sind. Über VPN läuft dann der Up- und Downstream mit 200Mbit/s und nur leicht erhöhter Latenz, das reicht mir völlig. Da hätte ich auch noch mehrere /64er Subnetze frei, aber das ganze dann nochmal über Wireguard zu routen wird irgendwann glaube ich zuviel (cloudserver-openvpn-router-wireguard-client)^^
Mitglied: 2423392070
2423392070 Jul 23, 2022 at 08:02:00 (UTC)
Goto Top
Der Umweg über den Cloud-Dienst wäre auch eine Idee. Habe sowas selbst schon gebaut wegen CGN.
Member: Batonga
Batonga Jul 23, 2022 updated at 14:54:47 (UTC)
Goto Top
Zitat von @2423392070:

Der Umweg über den Cloud-Dienst wäre auch eine Idee. Habe sowas selbst schon gebaut wegen CGN.

Jo notfalls könnte man da was machen. Auf dem Cloudserver habe ich auch schon einen "Fallback OpenVPN" Server auf ner eigenen IP und TCP Port 443 laufen, falls alles andere gesperrt sein sollte. So könnte man wenigstens noch in öffentlichen Netzen sicher surfen. Aber der Optimalfall wäre natürlich, wenn ich auch noch meine Dienste zu Hause zeitgleich erreichen kann. Durch die Gigabit Leitung wäre ja eine All-in-One Lösung umsetzbar, mit der ich dann unterwegs sicher surfen kann und meine Dienste zu Hause sicher und mit voller Bandbreite erreichen kann.

Kann ich denn ohne Komplikationen einen ULA-Bereich für die Wireguard Schnittstelle mit NAT6 und IPV6 Masquerading erstellen? Oder bringt das die ganze bisherige Konfiguration durcheinander? Dann habe ich auch noch was über 6in4 gelesen, kann man das für den Zweck nutzen? Für das Heimnetz ansich möchte ich auf keinen Fall NAT6 nutzen, da läuft die Präfix-Delegation einwandfrei wie vorgesehen.
Mitglied: 2423392070
2423392070 Jul 23, 2022 at 19:39:28 (UTC)
Goto Top
Ich weiß nicht ob du das kannst. Möglich ist das.

IPv6 hat viele Vorteile und Du scheinst das schon Mal erkannt zu haben.

8ch würde die Familie verkaufen und es einfach Mal einen Abend ausprobieren.

Ich habe privat ähnliche Konfigurationen laufen mit verschiedenen Exits nach Protokollen und Einwahl bei verschiedenen GCP Sites.
So teilen sich die Familien und Kollegen das Know how, Kapital und sonstige Ressourcen.
Ohne IPv6 wäre der Aufwand ungleich höher und es gäbe hässliche Konfigurationen wie zusätzliches NAT usw...
Member: Batonga
Batonga Jul 23, 2022 at 20:15:12 (UTC)
Goto Top
Ok, danke für deine Hilfe! Ich werde es jetzt mal mit NAT6 nur für die Wireguard-Schnittstelle und dessen Peers versuchen. Falls ich Erfolg habe, dann melde ich mich wieder.
Member: Batonga
Solution Batonga Jul 24, 2022 updated at 02:24:10 (UTC)
Goto Top
Ich habe jetzt einfach aus Bequemlichkeit NAT6 für den gesamten ULA Bereich aktiviert https://openwrt.org/docs/guide-user/network/ipv6/ipv6.nat6

Dabei habe ich nur kmod-ipt-nat6 installiert, diese Option meinem WAN Interface hinzugefügt:
uci set firewall.@zone[1].masq6="1"  
und das Firewall Script (firewall.nat6) übernommen.

Die Heimnetz-Geräte bekommen trotzdem weiterhin wie bisher eine "echte" IPv6 über DHCPv6 aus einem /64 Subnetz der Präfix-Delegation des ISPs und zusätzlich wird die ULA jetzt auch "ge-nat-et". Komischerweise wird bei ausgehendem Verkehr aus dem Heimnetz die NAT6 Adresse über ULA bevorzugt, aber das ist mir jetzt auch egal, hauptsache die delegierten IPv6 lassen sich binden und Traffic Regeln funktionieren damit weiterhin für eingehenden Verkehr, was alles klappt.

Für Wireguard habe ich dann einfach ein /64 Subnetz von der ULA genommen und diese bei den Peers hinterlegt, funktioniert auch einwandfrei und wird "ge-nat-et".