9
Wireguard Server - Dynamische IPv6
Hallo,
ich stehe schon länger vor einem Problem und finde nicht den richtigen Lösungsansatz.
Folgendes Szenario: Ich habe zu Hause einen OpenWRT Router und habe dort einen Wireguard Server am Laufen. Mein Provider ist die Telekom und ich bekomme ein dynamisches /56 IPv6 Subnetz. IPv4 läuft über Wireguard natürlich einwandfrei über NAT, aber für IPv6 müsste ich ja theoretisch andauernd den IPv6 Prefix bei allen Peers händisch anpassen. Zum Testen habe ich der Wireguard-Schnittstelle ein /64 Bereich zugeteilt und auf die Peers aufgeteilt, was auch - bis zur Erneuerung des IPv6 Prefixes durch den ISP - einwandfrei funkioniert.
NAT würde ich ungerne für IPv6 nutzen... ich habe mehrere Server im Heimnetz am Laufen, welche alle einen statischen IPv6 Suffix (z.B. 10) zugewiesen bekommen haben und die Traffic-Regeln dann per "negativer Netzmaske" (z.B. ::10/-64) die nötigen Ports öffnen. Das läuft auch einwandfrei, durch die negative Netzmaske auch nach der Erneuerung der IPv6. Die Server laufen aber unabhängig vom VPN in einem anderen /64 Subnetz. Die Wireguard-Peers brauchen nicht von außen erreichbar zu sein, sie sollen nur die Möglichkeit haben IPv6 Internethosts zu erreichen (nutze den Wireguard Server, wenn ich in öffentlichen WLAN-Netzen unterwegs bin).
Was gibts da jetzt noch für Möglichkeiten, um IPv6 bei Wireguard dauerhaft zum Laufen zu bekommen? Ich habe schon viel hier und in diversen anderen Foren danach gesucht, aber irgendwie nie eine Antwort dazu gefunden, oder sie nicht verstanden
OpenVPN kommt hier leider nicht in Frage, sonst hätte ich schon längst einfach einen Bridge-Adapter damit erstellt. Wireguard läuft nämlich auf meinem billigen Mini-Reiserouter (GL.iNet) - den ich unterwegs als VPN Client nutze - mit mehr als der dreifachen Datenrate wie OpenVPN, weshalb die Wahl auf Wireguard fiel... in Zukunft werde ich mir wohl einen höherwertigen Router fürs Reisen zulegen ^^
Vielen Dank schonmal im Voraus für eure Hilfe!
ich stehe schon länger vor einem Problem und finde nicht den richtigen Lösungsansatz.
Folgendes Szenario: Ich habe zu Hause einen OpenWRT Router und habe dort einen Wireguard Server am Laufen. Mein Provider ist die Telekom und ich bekomme ein dynamisches /56 IPv6 Subnetz. IPv4 läuft über Wireguard natürlich einwandfrei über NAT, aber für IPv6 müsste ich ja theoretisch andauernd den IPv6 Prefix bei allen Peers händisch anpassen. Zum Testen habe ich der Wireguard-Schnittstelle ein /64 Bereich zugeteilt und auf die Peers aufgeteilt, was auch - bis zur Erneuerung des IPv6 Prefixes durch den ISP - einwandfrei funkioniert.
NAT würde ich ungerne für IPv6 nutzen... ich habe mehrere Server im Heimnetz am Laufen, welche alle einen statischen IPv6 Suffix (z.B. 10) zugewiesen bekommen haben und die Traffic-Regeln dann per "negativer Netzmaske" (z.B. ::10/-64) die nötigen Ports öffnen. Das läuft auch einwandfrei, durch die negative Netzmaske auch nach der Erneuerung der IPv6. Die Server laufen aber unabhängig vom VPN in einem anderen /64 Subnetz. Die Wireguard-Peers brauchen nicht von außen erreichbar zu sein, sie sollen nur die Möglichkeit haben IPv6 Internethosts zu erreichen (nutze den Wireguard Server, wenn ich in öffentlichen WLAN-Netzen unterwegs bin).
Was gibts da jetzt noch für Möglichkeiten, um IPv6 bei Wireguard dauerhaft zum Laufen zu bekommen? Ich habe schon viel hier und in diversen anderen Foren danach gesucht, aber irgendwie nie eine Antwort dazu gefunden, oder sie nicht verstanden
OpenVPN kommt hier leider nicht in Frage, sonst hätte ich schon längst einfach einen Bridge-Adapter damit erstellt. Wireguard läuft nämlich auf meinem billigen Mini-Reiserouter (GL.iNet) - den ich unterwegs als VPN Client nutze - mit mehr als der dreifachen Datenrate wie OpenVPN, weshalb die Wahl auf Wireguard fiel... in Zukunft werde ich mir wohl einen höherwertigen Router fürs Reisen zulegen ^^
Vielen Dank schonmal im Voraus für eure Hilfe!
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 3419447804
Url: https://administrator.de/contentid/3419447804
Ausgedruckt am: 23.11.2024 um 10:11 Uhr
9 Kommentare
Neuester Kommentar
Umstellung auf feste IP ist nicht eine Option?
Zitat von @2423392070:
Umstellung auf feste IP ist nicht eine Option?
Umstellung auf feste IP ist nicht eine Option?
Das geht leider bei normalen Telekom-Tarifen nicht, nur bei Geschäftskunden-Tarifen, die viel zu teuer sind (+50€/Monat extra, in meinem Fall).
Company Flex MSN complete kostet mit 100/40 netto 29,99 ab dem 13. Monat.
2as zahlst Du jetzt?
2as zahlst Du jetzt?
Zitat von @2423392070:
Company Flex MSN complete kostet mit 100/40 netto 29,99 ab dem 13. Monat.
2as zahlst Du jetzt?
Company Flex MSN complete kostet mit 100/40 netto 29,99 ab dem 13. Monat.
2as zahlst Du jetzt?
Ich habe zur Zeit MagentaZuhause Giga (1GBit/s) und zahle 80€/Monat. Der selbe Tarif mit fester IP wäre Company Pro 1000 für 130€/Monat (Netto, also sogar noch teurer als gedacht). Telekom ist zur Zeit der einzige Anbieter, der Glasfaser liefert.
Für die "Feste IP" habe ich mir einen Cloudserver für 2€/Monat gemietet. Da läuft OpenVPN drauf und darüber sind dann meine Webseiten etc erreichbar, die jetzt auf dem Server zu Hause sind. Über VPN läuft dann der Up- und Downstream mit 200Mbit/s und nur leicht erhöhter Latenz, das reicht mir völlig. Da hätte ich auch noch mehrere /64er Subnetze frei, aber das ganze dann nochmal über Wireguard zu routen wird irgendwann glaube ich zuviel (cloudserver-openvpn-router-wireguard-client)^^
Der Umweg über den Cloud-Dienst wäre auch eine Idee. Habe sowas selbst schon gebaut wegen CGN.
Zitat von @2423392070:
Der Umweg über den Cloud-Dienst wäre auch eine Idee. Habe sowas selbst schon gebaut wegen CGN.
Der Umweg über den Cloud-Dienst wäre auch eine Idee. Habe sowas selbst schon gebaut wegen CGN.
Jo notfalls könnte man da was machen. Auf dem Cloudserver habe ich auch schon einen "Fallback OpenVPN" Server auf ner eigenen IP und TCP Port 443 laufen, falls alles andere gesperrt sein sollte. So könnte man wenigstens noch in öffentlichen Netzen sicher surfen. Aber der Optimalfall wäre natürlich, wenn ich auch noch meine Dienste zu Hause zeitgleich erreichen kann. Durch die Gigabit Leitung wäre ja eine All-in-One Lösung umsetzbar, mit der ich dann unterwegs sicher surfen kann und meine Dienste zu Hause sicher und mit voller Bandbreite erreichen kann.
Kann ich denn ohne Komplikationen einen ULA-Bereich für die Wireguard Schnittstelle mit NAT6 und IPV6 Masquerading erstellen? Oder bringt das die ganze bisherige Konfiguration durcheinander? Dann habe ich auch noch was über 6in4 gelesen, kann man das für den Zweck nutzen? Für das Heimnetz ansich möchte ich auf keinen Fall NAT6 nutzen, da läuft die Präfix-Delegation einwandfrei wie vorgesehen.
Ich weiß nicht ob du das kannst. Möglich ist das.
IPv6 hat viele Vorteile und Du scheinst das schon Mal erkannt zu haben.
8ch würde die Familie verkaufen und es einfach Mal einen Abend ausprobieren.
Ich habe privat ähnliche Konfigurationen laufen mit verschiedenen Exits nach Protokollen und Einwahl bei verschiedenen GCP Sites.
So teilen sich die Familien und Kollegen das Know how, Kapital und sonstige Ressourcen.
Ohne IPv6 wäre der Aufwand ungleich höher und es gäbe hässliche Konfigurationen wie zusätzliches NAT usw...
IPv6 hat viele Vorteile und Du scheinst das schon Mal erkannt zu haben.
8ch würde die Familie verkaufen und es einfach Mal einen Abend ausprobieren.
Ich habe privat ähnliche Konfigurationen laufen mit verschiedenen Exits nach Protokollen und Einwahl bei verschiedenen GCP Sites.
So teilen sich die Familien und Kollegen das Know how, Kapital und sonstige Ressourcen.
Ohne IPv6 wäre der Aufwand ungleich höher und es gäbe hässliche Konfigurationen wie zusätzliches NAT usw...
Ok, danke für deine Hilfe! Ich werde es jetzt mal mit NAT6 nur für die Wireguard-Schnittstelle und dessen Peers versuchen. Falls ich Erfolg habe, dann melde ich mich wieder.
Ich habe jetzt einfach aus Bequemlichkeit NAT6 für den gesamten ULA Bereich aktiviert https://openwrt.org/docs/guide-user/network/ipv6/ipv6.nat6
Dabei habe ich nur kmod-ipt-nat6 installiert, diese Option meinem WAN Interface hinzugefügt: und das Firewall Script (firewall.nat6) übernommen.
Die Heimnetz-Geräte bekommen trotzdem weiterhin wie bisher eine "echte" IPv6 über DHCPv6 aus einem /64 Subnetz der Präfix-Delegation des ISPs und zusätzlich wird die ULA jetzt auch "ge-nat-et". Komischerweise wird bei ausgehendem Verkehr aus dem Heimnetz die NAT6 Adresse über ULA bevorzugt, aber das ist mir jetzt auch egal, hauptsache die delegierten IPv6 lassen sich binden und Traffic Regeln funktionieren damit weiterhin für eingehenden Verkehr, was alles klappt.
Für Wireguard habe ich dann einfach ein /64 Subnetz von der ULA genommen und diese bei den Peers hinterlegt, funktioniert auch einwandfrei und wird "ge-nat-et".
Dabei habe ich nur kmod-ipt-nat6 installiert, diese Option meinem WAN Interface hinzugefügt:
uci set firewall.@zone[1].masq6="1" Die Heimnetz-Geräte bekommen trotzdem weiterhin wie bisher eine "echte" IPv6 über DHCPv6 aus einem /64 Subnetz der Präfix-Delegation des ISPs und zusätzlich wird die ULA jetzt auch "ge-nat-et". Komischerweise wird bei ausgehendem Verkehr aus dem Heimnetz die NAT6 Adresse über ULA bevorzugt, aber das ist mir jetzt auch egal, hauptsache die delegierten IPv6 lassen sich binden und Traffic Regeln funktionieren damit weiterhin für eingehenden Verkehr, was alles klappt.
Für Wireguard habe ich dann einfach ein /64 Subnetz von der ULA genommen und diese bei den Peers hinterlegt, funktioniert auch einwandfrei und wird "ge-nat-et".
