meltinsands
Goto Top

WireGuard VPN keine öffentliche IPv6

Hallo,

ich nutze WireGuard im Heimnetz über einen RaspberryPi. Diesen kann ich per IPv4 als auch IPv6 an meinem DualStack Anschluss erreichen. Als ich mich nun aus dem Ausland per iPhone verbunden habe, habe ich zum ersten Mal bemerkt, dass ich zwar eine IPv4, aber laut wieistmeineip.de keine öffentliche IPv6 erhalte.

Ich nutze im Heimnetz eine Fritz!box und als VPN Server den RaspberryPi. Sollte dann nicht das iPhone als Teil des VPN Netzwerks eine eigene, öffentliche IPv6 erhalten?

Hier treffen die Welten VPN und IPv6 aufeinander und ich wäre für Infos dankbar:
Woran liegt es, dass ich keine öffentliche IPv6 erhalte? Ist das erstmal "normal"?
Hat dies irgendwelche Nachteile wie bspw. bei IPv6-only Websites?
Wie könnte ich es lösen?
...und wenn noch Infos gebraucht werden, liefere ich die gerne nach.

Danke!

Content-ID: 93016625823

Url: https://administrator.de/contentid/93016625823

Ausgedruckt am: 19.11.2024 um 07:11 Uhr

aqui
aqui 25.03.2024 aktualisiert um 13:30:30 Uhr
Goto Top
habe ich zum ersten Mal bemerkt, dass ich zwar eine IPv4, aber laut wieistmeineip.de keine öffentliche IPv6 erhalte
Du meinst deine iPhone IP Adresse im Mobilfunknetz dieses ausländischen Providers, oder von welcher IP Adresse sprichst du hier? Es wäre zumindestens ungewöhnlich weil diese modernen Netze alle auf IPv6 basieren.
Leider machst du auch keine Angaben welcher Art diese IPv4 Adresse ist und ob diese ggf. im Bereich des RFC1918 oder RFC6598 liegt, denn das sind im Internet nicht geroutete IP Adressen und zeigen in dem Falle das dieser Provider dann ein zentrales CG-NAT ins Internet macht und du bei http://myexternalip.com nur die CG-NAT Gateway IP des Providers gesehen hast aber nicht die deines iPhones.
Da du keinerlei hilfreiche Angaben dazu machst können auch wir hier auch nur kristallkugeln.
Sollte dann nicht das iPhone als Teil des VPN Netzwerks eine eigene, öffentliche IPv6 erhalten?
Auch hier wieder die Frage WELCHE Adresse du meinst? Die des internen VPN Tunnels oder die externe IP des iPhones im Provider Mobilnetz. Leider wird das aus deiner Formulierung nicht ganz klar. face-sad
Die interne Tunnel IPv6 Adresse legst DU ja selber fest über deine VPN Konfiguration. Die Kardinalsfrage ist also ob du den Tunnel selber in deinem WG Setup auch als Dual Stack konfiguriert hast oder nicht? Auch da fehlen leider wieder deine Angaben um zielführend antworten zu können. face-sad
Ggf. hilft dir die Lektüre des hiesigen Wireguard Tutorials zur Antwort deiner Fragen?!
12168552861
Lösung 12168552861 25.03.2024 aktualisiert um 14:00:09 Uhr
Goto Top
Moin.
Wenn du daheim kein festes IPv6 Subnetz gebucht hast sondern dieses dynamisch vom Provider zugewiesen bekommst, wirst du am PI auf seine öffentliche IPv6 NATen müssen, ansonsten müsstest du die Server und Client Config beim Wechsel des Prefixes ständig neu anpassen, was unpraktikabel ist.

Mit folgendem Setup umgehst du das.

Beispiel Server Config
[Interface]
PrivateKey = <PRIVKEY-SERVER>
Port = 55555
Address = 10.99.0.1/24, fd99:affe::1/64

[Peer]
PublicKey = <PUBKEY-CLIENT>
AllowedIPs = 10.99.0.2/32, fd99:affe::2/128

Beispiel Client Config mit Gateway Redirect über den Server (IPv4,IPv6)
[Interface]
PrivateKey = <PRIVKEY-CLIENT>
Address = 10.99.0.2/24, fd99:affe::2/64

[Peer]
PublicKey = <PUBKEY-SERVER>
Endpoint = server.domain.tld:55555
AllowedIPs = 0.0.0.0/0, ::/0

Am Server musst du dann noch IPv6 ausgehend NATen, z.B. so mit ip6tables (Interface Namen anpassen)
ip6tables -t nat -A POSTROUTING -i wg0 -o ens33 -j MASQUERADE
Oder nftables im POSTROUTING von IPv6
ip6 saddr fd99:affe::/64 iifname wg0 oifname ens33 masquerade
Und auch das aktivieren des Forwardings für IPv6 in der sysctl.conf nicht vergessen
net.ipv6.conf.all.forwarding=1
Deine Firewall muss natürlich auch diesen IPv6 Traffic in der FORWARD-Chain durchlassen!

Damit nutzt dann auch dein Client die öffentliche IPv6-Adresse deines Servers zu Hause.

Wenn du aber stattdessen die öffentliche IPv6 deines Mobilfunkbetreibers nutzen willst wenn du eine bekommst, musst du das ::/0 aus den AllowedIPs des WG-Clients entfernen, dann nutzt der Client für alle IPv6 Requests die vorhandene globale IPv6 deines Mobilfunkproviders und agiert bei IPv6 Request damit am Tunnel vorbei.

Gruß pp.
meltinsands
meltinsands 25.03.2024 aktualisiert um 14:07:38 Uhr
Goto Top
Hi @aqui, schön von dir zu lesen und dass du unzufrieden bist mit meiner Fragestellung..damit habe ich schon gerechnet. Ich hatte ja geschrieben, ich reiche gerne nach, was benötigt wird.

Du meinst deine iPhone IP Adresse im Mobilfunknetz dieses ausländischen Providers, oder von welcher IP Adresse sprichst du hier?

Mobilfunk war deaktiviert, weswegen ich keine lokale IPv6 hätte erhalten können. Demnach bliebe doch, zumindest nach meinem Verständnis, nur die öffentlich 2a02:... wie ich sie von meinem ISP in DE erhalte. Schließlich geht doch der Verkehr über meinen Standort in DE und von dort müsste mein iPhone doch auch eine IPv6 erhalten.

Leider machst du auch keine Angaben welcher Art diese IPv4 Adresse ist und ob diese ggf. im Bereich des RFC1918 oder RFC6598 liegt, denn das sind im Internet nicht geroutete IP Adressen und zeigen in dem Falle das dieser Provider dann ein zentrales CG-NAT ins Internet macht und du bei http://myexternalip.com nur die CG-NAT Gateway IP des Providers gesehen hast aber nicht die deines iPhones.

Ich möchte auf jeden Fall die IPv4 meiner Fritz!box / RFC 6598 sehen.

Auch hier wieder die Frage WELCHE Adresse du meinst? Die des internen VPN Tunnels oder die externe IP des iPhones im Provider Mobilnetz.

Auch hier meine ich nicht die des Mobilfunktbetreibers, nicht die interne des VPN Tunnels, sondern die externe, öffentliche 2a02:... vom DE ISP zugewiesene.
meltinsands
meltinsands 25.03.2024 aktualisiert um 14:07:03 Uhr
Goto Top
@puderpader Vielen Dank für deine Antwort. Werde ich mir später im Detail ansehen. Ich glaube aber, genau das sollte die Lösung sein! face-smile
aqui
aqui 25.03.2024 aktualisiert um 16:47:32 Uhr
Goto Top
"fd99:bade:affe:cafe::/64" ist aber viel schöner... 🤣
scnr...
Im Grunde ist das ja gar nicht nötig sofern man nicht zwingend aufs interne v6 Heim Netzwerk via Tunnel zugreifen will oder muss, denn im Heimnetz ist ja in der Regel auch alles per v4 erreichbar. So oder so besser weil diese v4 IPs sich nicht ändern im Gegensatz zu den v6 IPs die dynamisch wechseln.

Ob man den WG Tunnel dann mit dem v6 Endpoint oder v4 Endpoint anspricht ist kosmetisch denn ein v6 Tunnel transportiert auch v4 Daten.
Zumal es m.W. auch ein WG Problem gibt bei Hostnamen gibt das der im Gegensatz zum Standard IPv4 als Endpoint bevorzugt wenn die Erinnerung nicht trügt.
Mobilfunk war deaktiviert, weswegen ich keine lokale IPv6 hätte erhalten können
Was ist denn für dich eine "lokale" v6 Adresse?? im v6 gibt es bekanntlich kein NAT also sind alles öffentliche Adressen oder meintest du eine IPv6 Link Local Adresse ala fe80:: ?? Da bist du leider wieder etwas unklar.
Ich möchte auf jeden Fall die IPv4 meiner Fritz!box / RFC 6598 sehen.
RFC6598 Adressen sind im Internet nicht routebar oder nutzt du diese als interne WG Tiunneladressen im v4? Das würde dann natürlich klappen.
nicht die interne des VPN Tunnels, sondern die externe, öffentliche 2a02:... vom DE ISP zugewiesene.
Die am WAN Port der Fritzbox zugewiesene??
Warum musst du es immer so kryptisch und verklausuliert beschreiben?? face-sad
aqui
aqui 08.04.2024 um 15:49:36 Uhr
Goto Top
Wenn es das denn nun war bitte deinen Thread dann auch als erledigt schliessen!
Wie kann ich einen Beitrag als gelöst markieren?