WireGuard VPN keine öffentliche IPv6
Hallo,
ich nutze WireGuard im Heimnetz über einen RaspberryPi. Diesen kann ich per IPv4 als auch IPv6 an meinem DualStack Anschluss erreichen. Als ich mich nun aus dem Ausland per iPhone verbunden habe, habe ich zum ersten Mal bemerkt, dass ich zwar eine IPv4, aber laut wieistmeineip.de keine öffentliche IPv6 erhalte.
Ich nutze im Heimnetz eine Fritz!box und als VPN Server den RaspberryPi. Sollte dann nicht das iPhone als Teil des VPN Netzwerks eine eigene, öffentliche IPv6 erhalten?
Hier treffen die Welten VPN und IPv6 aufeinander und ich wäre für Infos dankbar:
Woran liegt es, dass ich keine öffentliche IPv6 erhalte? Ist das erstmal "normal"?
Hat dies irgendwelche Nachteile wie bspw. bei IPv6-only Websites?
Wie könnte ich es lösen?
...und wenn noch Infos gebraucht werden, liefere ich die gerne nach.
Danke!
ich nutze WireGuard im Heimnetz über einen RaspberryPi. Diesen kann ich per IPv4 als auch IPv6 an meinem DualStack Anschluss erreichen. Als ich mich nun aus dem Ausland per iPhone verbunden habe, habe ich zum ersten Mal bemerkt, dass ich zwar eine IPv4, aber laut wieistmeineip.de keine öffentliche IPv6 erhalte.
Ich nutze im Heimnetz eine Fritz!box und als VPN Server den RaspberryPi. Sollte dann nicht das iPhone als Teil des VPN Netzwerks eine eigene, öffentliche IPv6 erhalten?
Hier treffen die Welten VPN und IPv6 aufeinander und ich wäre für Infos dankbar:
Woran liegt es, dass ich keine öffentliche IPv6 erhalte? Ist das erstmal "normal"?
Hat dies irgendwelche Nachteile wie bspw. bei IPv6-only Websites?
Wie könnte ich es lösen?
...und wenn noch Infos gebraucht werden, liefere ich die gerne nach.
Danke!
Bitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 93016625823
Url: https://administrator.de/contentid/93016625823
Ausgedruckt am: 19.12.2024 um 12:12 Uhr
6 Kommentare
Neuester Kommentar
habe ich zum ersten Mal bemerkt, dass ich zwar eine IPv4, aber laut wieistmeineip.de keine öffentliche IPv6 erhalte
Du meinst deine iPhone IP Adresse im Mobilfunknetz dieses ausländischen Providers, oder von welcher IP Adresse sprichst du hier? Es wäre zumindestens ungewöhnlich weil diese modernen Netze alle auf IPv6 basieren.Leider machst du auch keine Angaben welcher Art diese IPv4 Adresse ist und ob diese ggf. im Bereich des RFC1918 oder RFC6598 liegt, denn das sind im Internet nicht geroutete IP Adressen und zeigen in dem Falle das dieser Provider dann ein zentrales CG-NAT ins Internet macht und du bei http://myexternalip.com nur die CG-NAT Gateway IP des Providers gesehen hast aber nicht die deines iPhones.
Da du keinerlei hilfreiche Angaben dazu machst können auch wir hier auch nur kristallkugeln.
Sollte dann nicht das iPhone als Teil des VPN Netzwerks eine eigene, öffentliche IPv6 erhalten?
Auch hier wieder die Frage WELCHE Adresse du meinst? Die des internen VPN Tunnels oder die externe IP des iPhones im Provider Mobilnetz. Leider wird das aus deiner Formulierung nicht ganz klar. Die interne Tunnel IPv6 Adresse legst DU ja selber fest über deine VPN Konfiguration. Die Kardinalsfrage ist also ob du den Tunnel selber in deinem WG Setup auch als Dual Stack konfiguriert hast oder nicht? Auch da fehlen leider wieder deine Angaben um zielführend antworten zu können.
Ggf. hilft dir die Lektüre des hiesigen Wireguard Tutorials zur Antwort deiner Fragen?!
Moin.
Wenn du daheim kein festes IPv6 Subnetz gebucht hast sondern dieses dynamisch vom Provider zugewiesen bekommst, wirst du am PI auf seine öffentliche IPv6 NATen müssen, ansonsten müsstest du die Server und Client Config beim Wechsel des Prefixes ständig neu anpassen, was unpraktikabel ist.
Mit folgendem Setup umgehst du das.
Beispiel Server Config
Beispiel Client Config mit Gateway Redirect über den Server (IPv4,IPv6)
Am Server musst du dann noch IPv6 ausgehend NATen, z.B. so mit ip6tables (Interface Namen anpassen)
Oder nftables im POSTROUTING von IPv6
Und auch das aktivieren des Forwardings für IPv6 in der sysctl.conf nicht vergessen
Deine Firewall muss natürlich auch diesen IPv6 Traffic in der FORWARD-Chain durchlassen!
Damit nutzt dann auch dein Client die öffentliche IPv6-Adresse deines Servers zu Hause.
Wenn du aber stattdessen die öffentliche IPv6 deines Mobilfunkbetreibers nutzen willst wenn du eine bekommst, musst du das ::/0 aus den AllowedIPs des WG-Clients entfernen, dann nutzt der Client für alle IPv6 Requests die vorhandene globale IPv6 deines Mobilfunkproviders und agiert bei IPv6 Request damit am Tunnel vorbei.
Gruß pp.
Wenn du daheim kein festes IPv6 Subnetz gebucht hast sondern dieses dynamisch vom Provider zugewiesen bekommst, wirst du am PI auf seine öffentliche IPv6 NATen müssen, ansonsten müsstest du die Server und Client Config beim Wechsel des Prefixes ständig neu anpassen, was unpraktikabel ist.
Mit folgendem Setup umgehst du das.
Beispiel Server Config
[Interface]
PrivateKey = <PRIVKEY-SERVER>
Port = 55555
Address = 10.99.0.1/24, fd99:affe::1/64
[Peer]
PublicKey = <PUBKEY-CLIENT>
AllowedIPs = 10.99.0.2/32, fd99:affe::2/128
Beispiel Client Config mit Gateway Redirect über den Server (IPv4,IPv6)
[Interface]
PrivateKey = <PRIVKEY-CLIENT>
Address = 10.99.0.2/24, fd99:affe::2/64
[Peer]
PublicKey = <PUBKEY-SERVER>
Endpoint = server.domain.tld:55555
AllowedIPs = 0.0.0.0/0, ::/0
Am Server musst du dann noch IPv6 ausgehend NATen, z.B. so mit ip6tables (Interface Namen anpassen)
ip6tables -t nat -A POSTROUTING -i wg0 -o ens33 -j MASQUERADE
ip6 saddr fd99:affe::/64 iifname wg0 oifname ens33 masquerade
net.ipv6.conf.all.forwarding=1
Damit nutzt dann auch dein Client die öffentliche IPv6-Adresse deines Servers zu Hause.
Wenn du aber stattdessen die öffentliche IPv6 deines Mobilfunkbetreibers nutzen willst wenn du eine bekommst, musst du das ::/0 aus den AllowedIPs des WG-Clients entfernen, dann nutzt der Client für alle IPv6 Requests die vorhandene globale IPv6 deines Mobilfunkproviders und agiert bei IPv6 Request damit am Tunnel vorbei.
Gruß pp.
"fd99:bade:affe:cafe::/64" ist aber viel schöner... 🤣
scnr...
Im Grunde ist das ja gar nicht nötig sofern man nicht zwingend aufs interne v6 Heim Netzwerk via Tunnel zugreifen will oder muss, denn im Heimnetz ist ja in der Regel auch alles per v4 erreichbar. So oder so besser weil diese v4 IPs sich nicht ändern im Gegensatz zu den v6 IPs die dynamisch wechseln.
Ob man den WG Tunnel dann mit dem v6 Endpoint oder v4 Endpoint anspricht ist kosmetisch denn ein v6 Tunnel transportiert auch v4 Daten.
Zumal es m.W. auch ein WG Problem gibt bei Hostnamen gibt das der im Gegensatz zum Standard IPv4 als Endpoint bevorzugt wenn die Erinnerung nicht trügt.
Warum musst du es immer so kryptisch und verklausuliert beschreiben??
scnr...
Im Grunde ist das ja gar nicht nötig sofern man nicht zwingend aufs interne v6 Heim Netzwerk via Tunnel zugreifen will oder muss, denn im Heimnetz ist ja in der Regel auch alles per v4 erreichbar. So oder so besser weil diese v4 IPs sich nicht ändern im Gegensatz zu den v6 IPs die dynamisch wechseln.
Ob man den WG Tunnel dann mit dem v6 Endpoint oder v4 Endpoint anspricht ist kosmetisch denn ein v6 Tunnel transportiert auch v4 Daten.
Zumal es m.W. auch ein WG Problem gibt bei Hostnamen gibt das der im Gegensatz zum Standard IPv4 als Endpoint bevorzugt wenn die Erinnerung nicht trügt.
Mobilfunk war deaktiviert, weswegen ich keine lokale IPv6 hätte erhalten können
Was ist denn für dich eine "lokale" v6 Adresse?? im v6 gibt es bekanntlich kein NAT also sind alles öffentliche Adressen oder meintest du eine IPv6 Link Local Adresse ala fe80:: ?? Da bist du leider wieder etwas unklar.Ich möchte auf jeden Fall die IPv4 meiner Fritz!box / RFC 6598 sehen.
RFC6598 Adressen sind im Internet nicht routebar oder nutzt du diese als interne WG Tiunneladressen im v4? Das würde dann natürlich klappen.nicht die interne des VPN Tunnels, sondern die externe, öffentliche 2a02:... vom DE ISP zugewiesene.
Die am WAN Port der Fritzbox zugewiesene??Warum musst du es immer so kryptisch und verklausuliert beschreiben??
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?
Wie kann ich einen Beitrag als gelöst markieren?