gelöst Wireguard VPN Server (Dual Stack) von außerhalb (DSLite) erreichen

Mitglied: juma2312

juma2312 (Level 1) - Jetzt verbinden

17.09.2020 um 15:59 Uhr, 535 Aufrufe, 13 Kommentare

Hallo,

ich habe mich mal hier registriert, da ich seit längerem bei einem Problem nicht weiterkomme und hoffe, dass ihr mir helfen könnt. Vorab: Ich habe wirklich sehr lange recherchiert und versucht die Grundlagen zu verstehen und unzählige Tests durchgeführt. Irgendwo hapert es aber und ich kann den Fehler einfach nicht finden.

Ich habe einen Wireguard Server auf meinem Raspberry Pi laufen. Dieser funktioniert auch über IPv4 einwandfrei. Wenn ich jedoch aus dem WLAN bei meinem Bruder (DSLite) auf mein Heimnetz zugreifen möchte, gelingt zwar der Handshake und ich kann im internen Netz IPv6 Adressen anpingen, allerdings erreiche meine Geräte nicht über deren lokale IPv4 Adressen und ins Internet komme ich auch nicht. Um es weiter zu testen wollte ich die Config mit IPv6-only laufen lassen. Ich habe zuhause natives Dualstack, verwende meinen eigenen Kabelrouter (FritzBox 6591) und auch über meinen Mobilfunkanbieter habe ich Dualstack. Ich teste die Verbindung aktuell immer über LTE.

Änderungen in /etc/dhcpcd.conf auf dem Raspi:

Änderungen in /etc/sysctl.conf:



Hier die Wireguard configs:


Server wg0:

und hier die client config:

iphone-v6-only (funktioniert nicht):

iphone-v4 (funktioniert):


Ausgabe von ifconfig:


Hier sind noch Fotos von Einstellungen in der Fritzbox. Routing habe ich bisher nicht gemacht, da ich irgendwo gelesen habe, dass das bei korrekter Konfiguration automatisch geschehen soll und ich ansonsten auch nicht wüsste, was wohin gerouted werden müsste.

fritz_ipv6_settings - Klicke auf das Bild, um es zu vergrößern

fritz_setting2 - Klicke auf das Bild, um es zu vergrößern

fritz_settings3 - Klicke auf das Bild, um es zu vergrößern

Ich hoffe jemand hat eine Idee woran es liegen könnte. Wenn noch Infos fehlen bitte einfach nachfragen.

Danke für eure Antworten!
Mitglied: aqui
LÖSUNG 17.09.2020, aktualisiert um 16:17 Uhr
Kann es sein das du und dein Bruder als 2 FritzBox Knechte im lokalen LAN die gleiche v4 IP Adresse nutzt oder einer der IP Netz der des internen Wireguard VPN Netzes entspricht ??
Das es dann nicht klappt liegt auf der Hand. Siehe hier:
https://administrator.de/tutorial/vpns-einrichten-pptp-117700.html#toc-7

Andere Option wäre die interne RFC 1918 IP Adresse des DS-Lite Providers das die ggf. mit einer eurer privaten Adressen sich überschneidet.
In der Regel nutzen CGN Provider aber RFC 6598 IP Adressen (100.64.0.0 /10) so das es eigentlich nicht zu einer RFC 1918 Kollision kommen kann. Aber nicht jeder DS-Lite Provider nutzt auch eine intelligente IP Adressierung.
Das solltest du also checken.
Routing habe ich bisher nicht gemacht, da ich irgendwo gelesen habe, dass das bei korrekter Konfiguration automatisch geschehen soll
Was diese etwas wirre und kryptische Anmerkung bedeutet weiss wohl nur der Wind. Oder...du erklärst es uns nochmal.
Was auch mehr als komisch ist, ist die Tatsache das der RasPi scheinbar mit LAN und WLAN in unterschiedlichen lokalen IP Netzen ist. Was ist der Sinn und Zweck davon ??
Das .179er Netz der FB ist doch in aller Regel das FB Gastnetz oder ?
Da wäre es ja mehr als fatal wenn ein RasPi Interface als Client im Gastnetz ist. Mehr oder minder dann ein schwere IP Design Fehler und fatal für die Sicherheit des VPN ?! Da wäre eine Erklärung zum Warum hilfreich.

Ansonsten hast du alles richtig gemacht und es wäre unverständlich warum es aus dem lokalen LAN des Bruders nicht klappen sollte.
Auch wenn er DS-Lite Opfer ist, ist es ja dein Client, also der VPN Initiator, der die Tunnelverbindung aufbaut und das geht auch immer über DS-Lite mit CGN.
Grundlegende IP Infos findest du auch im hiesigen OpenVPN Tutorial. Diese sind vollkommen identisch zum Wireguard Setup.
https://administrator.de/tutorial/merkzettel-vpn-installation-openvpn-56 ...
Bitte warten ..
Mitglied: 145916
LÖSUNG 17.09.2020, aktualisiert um 16:55 Uhr
iphone-v6-only (funktioniert nicht):
Address = fd08:dead:beef:affe::2/64
Ist ja auch logisch das das nicht läuft.IPv6 kennt kein NAT und du willst mit einer privaten IPv6 ULA Adresse ins Internet?? Dat kann ja nich .
Wenn du mit IPv6 ONLY mit allem Traffic durch den WG-Tunnel willst und über den Raspi auch via IPv6 ins Internet dann musst du dem WIreguard-Client auch eine öffentliche IPv6 Adresse aus deinem dir vom Provider zugeteilten IPv6 Subnetz zuweisen, denn eine ULA wird logischerweise nicht ins INet geroutet. Ohne festes IPv6 Subnetz am Server-Standort ist das mit Wireguard schlecht machbar denn du müsstest erstens die Wireguard-Peers am Server regelmäßig updaten und die Client-Config natürlich auch damit sie das aktuelle Prefix wiederspiegeln. Für so einen Fall ist dann eine Config die zusätzlich IPv4 im Tunnel beinhaltet Pflicht damit du noch ins Internet kommst, oder du nimmst ein anderes VPN-Protokoll wie OpenVPN mit sich Adressen besser automatisiert verteilen lassen.
Bitte warten ..
Mitglied: juma2312
17.09.2020, aktualisiert um 17:12 Uhr
Danke für deine schnelle Antwort.

Kann es sein das du und dein Bruder als 2 FritzBox Knechte im lokalen LAN die gleiche v4 IP Adresse nutzt oder einer der IP Netz der des internen Wireguard VPN Netzes entspricht ??

Nein, da gibt es keine Überschneidungen. Das lokale IP Netz meines Bruders ist 192.168.0.0/24. Mein internes Netz ist 192.168.178.0/24 und Das Wireguard Netz ist 192.168.179.0/24. Ich hoffe die Notation stimmt so. Aber ich denke du weißt was ich damit sagen will :D
Unabhängig von dem Netz meines Bruders probiere ich es aktuell über mein Mobilnetz. Dort bekomme ich auch Dualstack (geprüft über wieistmeineip.de).

Was diese etwas wirre und kryptische Anmerkung bedeutet weiss wohl nur der Wind. Oder...du erklärst es uns nochmal.
Um die kryptische Aussage in eine Frage umzuformulieren: Ich bin mir nicht sicher ob ich noch manuell in der Fritzbox irgendwelche Routen setzen muss. Vielleicht ist da der Output von
und

hilfreich.

Was auch mehr als komisch ist, ist die Tatsache das der RasPi scheinbar mit LAN und WLAN in unterschiedlichen lokalen IP Netzen ist. Was ist der Sinn und Zweck davon ??

der Raspi befindet sich nicht WLAN. wg0 ist die Wireguard Schnittstelle.

Das .179er Netz der FB ist doch in aller Regel das FB Gastnetz oder ?

Das weiß ich nicht. Ich habe bei mir kein Gastnetz aktiv. Ich werde aber das IP-Design des VPN-Netzes überarbeiten.


Edit:
komischerweise wird mein Kommentar immer unter die andere Antwort gesetzt. Sorry dafür.
Bitte warten ..
Mitglied: juma2312
17.09.2020 um 17:23 Uhr
Das klingt sinnvoll :D

Mein Präfix ändert sich nicht allzu häufig und es wäre für mich ein vertretbarer Aufwand diesen in den Configs zu ändern, wenn er sich ändert. Und allein um mein Verständnis minimal zu erhöhen, würde ich es gerne ein mal zum Laufen kriegen.
Ich bekomme von meinem ISP ein /59 Präfix. Somit müsste ich dem Raspi ja davon ein /64 Subnetz "geben" können. Allerdings weiß ich nicht genau wie ich das anstelle...
Hast du da vllt einen Tipp / Link (deutsch oder englisch) wie ich das am besten mache? Sind die Einstellungen in der Fritzbox dafür erst mal richtig gesetzt?
Bitte warten ..
Mitglied: aqui
17.09.2020, aktualisiert um 18:05 Uhr
Das Wireguard Netz ist 192.168.179.0/24
Sorry, du hast recht... "wg0" ist bei mir glatt als WLAN Adapter durchgegangen. Wie peinlich... Sorry für die Verwirrung...
So oder so ist .179.0 aber keine besonders gute Wahl denn das ist das FritzBox Gastnetz. Intern ist es besser etwas "exotischere" IP Netze zu verwenden. Den Grund kannst du hier nachlesen.
Das ist aber letztlich nicht die Ursache hier wenn die .179.0 nirgendwo in Benutzung ist.
komischerweise wird mein Kommentar immer unter die andere Antwort gesetzt. Sorry dafür.
Das machst du selber falsch...
Antworten kannst du auch sinnvoll zusammenfassen in einem Thread mit einem "@" vor dem Usernamen...
Somit müsste ich dem Raspi ja davon ein /64 Subnetz "geben" können.
Das macht deine FritzBox an einem Dual Stack Anschluss automatisch wenn das aktiviert ist !
Auf dem RasPi musst du die statische Vergabe löschen und in der /etc/dhcpcd.conf folgendes eintragen:
Damit bekommst du dann eine SLAAC IP und könntest auch zusätzlich eine statische definieren wenn du das "#" entfernst. Bei v6 kann man mehrere IPs haben.
Damit schaltet man die Verwürfelung mit Private v6 ab und der RasPi bekommt von der FB automatisch eine IPv6 EUI-64 format Adresse auf Basis seiner Mac.
Alternativ kannst du ihm auch eine statische geben aber das ist dann immer abhängig was die FB am LAN Port für ein /64er v6 Netz ausgibt und müsstest du immer nachtragen. Per SLAAC lernt der RasPi das alles automatisch und du musst nur hie und da immer mal nachsehen wenn du via PD ein anderes lokales v6 LAN bekommen hast.
Bitte warten ..
Mitglied: 145916
LÖSUNG 17.09.2020, aktualisiert um 17:37 Uhr
Zitat von juma2312:
Somit müsste ich dem Raspi ja davon ein /64 Subnetz "geben" können. Allerdings weiß ich nicht genau wie ich das anstelle...
Du musst erst mal dem Raspi sagen das er ein Prefix Request absetzen soll damit du vom vorgelagerten Router ein IPv6 Subnetz zugeteilt bekommst
https://wiki.debian.org/IPv6PrefixDelegation
Aus diesem Netz kannst du du dem Wireguard-Interface Server-Interface und den WG Clients Adressen vergeben.
Mein Präfix ändert sich nicht allzu häufig und es wäre für mich ein vertretbarer Aufwand diesen in den Configs zu ändern, wenn er sich ändert.
Schlecht wenn dein Zugang genau dann ausfällt wenn du unterwegs bist . Sowas umgeht man leicht mit einem kleinen vServer z.B. bei Netcup und festem IPv6 Präfix wenn man daheim keins hat oder bekommt.
Bitte warten ..
Mitglied: juma2312
17.09.2020 um 18:08 Uhr
Zitat von @aqui:
Das machst du selber falsch... Antworten kannst du auch sinnvoll zusammenfassen in einem Thread mit einem "@" vor dem Usernamen

Das war nur etwas verwirrend, dass mir unter beiden Antworten ein "Kommentieren" Button angezeigt wurde, weswegen ich davon ausgegangen bin, dass ich separat auf eure Antworten eingehen kann. Aber egal...

Zitat von @aqui:
Auf dem RasPi musst du die statische Vergabe löschen und in der /etc/dhcpcd.conf folgendes eintragen:

Also quasi nur diese beiden Parts
auskommentieren und

so lassen wie es aktuell ist um die Privacy Extensions zu deaktivieren? (Nur noch mal für mein Verständnis)


>Zitat von @eaglefinder:
Du musst erst mal dem Raspi sagen das er ein Prefix Request absetzen soll damit du vom vorgelagerten Router ein IPv6 Subnetz zugeteilt bekommst

Danke für den Link. Ich werde mich da mal Einlesen.

>Zitat von @eaglefinder:
Schlecht wenn dein Zugang genau dann ausfällt wenn du unterwegs bist . Sowas umgeht man leicht mit einem kleinen vServer z.B. bei Netcup und festem IPv6 Präfix wenn man daheim keins hat oder bekommt.

günstige vServer sind ja meistens bandbreitenlimitiert und da der Haupteinsatzzweck das Streamen von meinen Videos ist, würde es sehr teuer werden. Oder verstehe ich da was falsch?
Wenn sich das Präfix ändern würde wenn ich unterwegs bin, könnte ich mich immer noch über mein mobiles Netz und der funktionierenden IPv4 Config verbinden um das neue Präfix herauszufinden. Das wäre für mich aufgrund des hohen Traffics die attraktivere Lösung.

Ich mache für heute Feierabend und probiere morgen eine Config mit Präfix Delegation zu erstellen und würde mich morgen dann melden, wenn irgendwo Fragen aufkommen.


Danke euch beiden schon mal für die ausführlichen Antworten. Das hat mir schon sehr weitergeholfen!
Bitte warten ..
Mitglied: mbehrens
17.09.2020 um 19:36 Uhr
Zitat von 145916:

iphone-v6-only (funktioniert nicht):
Address = fd08:dead:beef:affe::2/64
Ist ja auch logisch das das nicht läuft.IPv6 kennt kein NAT und du willst mit einer privaten IPv6 ULA Adresse ins Internet??

Sicher kann man auch NAT mit IPv6 machen. In manchen Umgebungen leider nicht vermeidbar
Bitte warten ..
Mitglied: aqui
18.09.2020 um 09:33 Uhr
Sicher kann man auch NAT mit IPv6 machen.
Ist Blödsinn und das Gros der Router lässt das auch gar nicht zu !
In manchen Umgebungen leider nicht vermeidbar
Sorry, aber das ist Unsinn. In welchen ominösen "Umgebungen" sollte das denn nicht vermeidbar sein ?!
NAT ist einzig und allein nur aus dem Mangel an IPv4 Adressen geboren. Ein Umstand den es bei IPv6 nicht mehr gibt. Folglich kann es auch solche "Umgebungen" nicht mehr geben bei v6.
Bitte warten ..
Mitglied: juma2312
18.09.2020 um 15:00 Uhr
Hallo Zusammen,

ich habe es nun zum laufen bekommen und es funktioniert auch bei meinem Bruder aus dem LAN.

Dazu habe ich in der /etc/dhcpcd.conf folgendes eingefügt:

Dadurch fordert der Raspi ein 64er Subnetz an und gibt es an die Wireguard Schnittstelle weiter.
In diesem Subnetz habe ich dann den Server und die Clients konfiguriert.

In der /etc/sysctl.conf habe ich noch diese Änderungen gemacht:
Zitat von @aqui:
Auf dem RasPi musst du die statische Vergabe löschen und in der /etc/dhcpcd.conf folgendes eintragen:

Als ich es so versucht habe, hat der Raspi nur eine globale IPv6 Adresse bekommen mit dem gleichen Präfix wie die anderen Geräte in meinem LAN.

Ich habe auch noch die IPs des VPN-Netzes abgeändert (192.168.217.0/24) und den Port gewechselt.

Danke noch mal an euch alle!
Bitte warten ..
Mitglied: aqui
18.09.2020 um 15:16 Uhr
hat der Raspi nur eine globale IPv6 Adresse bekommen mit dem gleichen Präfix wie die anderen Geräte in meinem LAN.
Das war ja auch der Sinn der Sache ! Works as designed.
Klar wenn du ein anderes Router Interface auch mit einem /64er Netz beglücken willst dann brauchst du ja auch ein PD und das erledigt dann dein obiges Kommando.

Was aber dennoch an der ganzen Geschichte höchst unklar ist ist das es nicht mit IPv4 funktioniert.
Auch das müsste normalerweise fehlerfrei so laufen auch völlig ohne IPv6.
Aber egal...wenns nun klappt ist ja alles gut !
Case closed !
Bitte warten ..
Mitglied: mbehrens
18.09.2020 um 15:46 Uhr
Zitat von aqui:

Sicher kann man auch NAT mit IPv6 machen.
Ist Blödsinn und das Gros der Router lässt das auch gar nicht zu !
In manchen Umgebungen leider nicht vermeidbar
Sorry, aber das ist Unsinn. In welchen ominösen "Umgebungen" sollte das denn nicht vermeidbar sein ?!
NAT ist einzig und allein nur aus dem Mangel an IPv4 Adressen geboren. Ein Umstand den es bei IPv6 nicht mehr gibt. Folglich kann es auch solche "Umgebungen" nicht mehr geben bei v6.

Wie gesagt, alles schon gesehen. In einem Fall ging es um die Nutzung eines PI Address Space.
Bitte warten ..
Mitglied: aqui
18.09.2020, aktualisiert um 17:59 Uhr
Sowas zeugt aber in erster Linie immer von wenig Fachkenntnissen bei der IPv6 Adressierung. Da kommen dann solche Gruselkonstrukte bei raus die einem später das IT Leben schwer machen...aber egal.
Wichtig ist ja erstmal das dein VPN rennt.
Bitte warten ..
Heiß diskutierte Inhalte
Multimedia
Fernseher im Empfang GEMA-pflichtig?
CaptainDuskyQuestionMultimedia23 Comments

Guten Tag, wenn ich in einer Firma einen Fernseher im Empfang betreibe, dort aber nur Nachrichten laufen lasse, ist ...

Ubuntu
HAProxy-Wi: Installation des Pakets geht nicht - ich hätte keine enabled Repos
itnirvanaQuestionUbuntu22 Comments

Hallo, von der Seite möchte ich gerne HAProxy-Wi installieren ich führe das hier aus Dann kommt -> There ar ...

Windows Server
PowerShell Script für MailVersand mit Anhang
solved klausk94QuestionWindows Server20 Comments

Hallo Zusammen, ich bin aktuell etwas am verzweifeln an einem PS Script für den Emailversand Das Script funktioniert, jedoch ...

LAN, WAN, Wireless
RJ45 Buchsen Verbindung
solved DennisAdm1nQuestionLAN, WAN, Wireless18 Comments

Ich habe als Aufgabe bekommen die LAN-Verbindung in einem Haus zu fixen, dabei ist mir aufgefallen, dass der RJ45-Stecker ...

Windows 10
Windows 7 zu Windows 10 weiterhin kostenlos möglich?
solved CubeHDQuestionWindows 1017 Comments

Guten Abend, ist es möglich einen vorhandenen Windows 7 Key für Windows 10 zu verwenden? Kennt ihr vielleicht andere ...

Batch & Shell
Frage zu batch (cmd ) - Drag und Drop - Bearbeitung bei nicht geschlossenem DOS Fenster
solved AN34MemQuestionBatch & Shell16 Comments

Hallo. Vielleicht mag meine Frage etwas seltsam sein, jedoch möchte ich gerne wissen wie das umzusetzen ist: Angenommen man ...

Ähnliche Inhalte
Verschlüsselung & Zertifikate
Dual Stack und pfSense mit VPN
Frank198FrageVerschlüsselung & Zertifikate4 Kommentare

Hallo. Ich bin Laie im Bereich Netzwerk und wäre dankbar für jede Hilfe, um weiter zu kommen. Falls ich ...

Router & Routing
VPN, Wireguard, Userabmeldung?
gelöst VisuciusFrageRouter & Routing7 Kommentare

Hallo liebes Tagebuch ähhh liebe Forenteilnehmer. So im groben - ohne Wireguard - aber mit Win2016-RAS und L2TP habe ...

Netzwerkgrundlagen

VPN DS-Lite-Problem mit Dual-Stack-Server lösbar?

gelöst kabuziFrageNetzwerkgrundlagen7 Kommentare

Moin ihr IT-Profis :-) die VPN DS-Lite Problematik wurde in den letzten Jahren ja nun hinreichend diskutiert. Auch ich ...

Netzwerkprotokolle

IPv6 Dual-Stack im internen Netzwerk

gelöst lcer00FrageNetzwerkprotokolle1 Kommentar

Hallo zusammen, Unsere Domäne hängt an eine IPv4 / IPv6 Telekom (Dual-Stack) Anschluss. bislang ist IPv6 deaktiviert (am Router ...

Router & Routing

VPN Wireguard bidirektional betreiben

gelöst AvengaFrageRouter & Routing7 Kommentare

Hallo erstmal, folgendes Szenario würde ich euch gern beschreiben: Netz A: FritzBox, Raspberry Wireguard Server, IP Bereich 192.168.168.x - ...

Sicherheit

WireGuard VPN einrichten Windows

darklivingFrageSicherheit11 Kommentare

Hallo zusammen, ich hoffe das mir hier jemand helfen kann bei einem Problem mit WireGuard VPN Einstellung im Server ...

Berechtigungs- und IdentitätsmanagementBerechtigungs- und IdentitätsmanagementWebdienste und -serverWebdienste und -serverDatenbankenDatenbankenMonitoring & SupportMonitoring & SupportHybrid CloudHybrid CloudSmall Business ITSmall Business IT