Zugriff von außen VPN per IPv6 am 1u1 DS-lite

avenga
Goto Top
Hallo,
ich habe gerade probiert bei einem Kollegen Wireguard einzurichten an einem 1&1 DS lite Anschluss über IPv6.

Bei mir Zuhause läuft es einwandfrei, allerdings echtes DS (Telekom). Ich komme sowohl über IPv4 als auch über IPv6 rein !

Wir haben Port 51820 und 1723 getestet.

Zwischendurch haben wir sogar exposed Host eingestellt und probiert ob man den RPi (per vollständiger IPv6 Adresse) anpingen kann - klappt nicht.
Als würde 1&1 keine eingehenden Verbindungen zulassen.

Ich steh´ auf dem Schlauch.

Wireguard an sich funktioniert im internen Netzwerk, das haben wir getestet.

Nur Internet -> IPv6 -> FritzBox 7590 ist irgendwo der Wurm drin.

RPi hat natürlich eine feste IPv6 Adresse (Interface-Identifier).

Ich habe alle Einstellungen mit meinen verglichen, einziger Unterschied ist halt DS-lite <-> DS.

Wenn 1&1 blockiert dann kann ich lange suchen.

Vielleicht hat Jemand einen heißen Tipp für mich.

Content-Key: 576351

Url: https://administrator.de/contentid/576351

Ausgedruckt am: 28.06.2022 um 22:06 Uhr

Mitglied: c0d3.r3d
c0d3.r3d 03.06.2020 um 20:44:13 Uhr
Goto Top
Hi,

1u1 blockiert das nicht. Im Netz finden sich einige Anleitungen wie man einen Fernzugriff über DS Lite einrichten kann. Der feine Unterschied macht das Wort Lite. Dual Stack und Dual Stack Lite sind nicht das selbe. Über normales Dual Stack sollte der Zugriff möglich sein, über Lite ebenfalls, aber nur mit ein paar kleinen Zusatztricks.

Grüße
Mitglied: Avenga
Avenga 03.06.2020 aktualisiert um 22:35:47 Uhr
Goto Top
Bei den "Lite" Anleitungen steht immer nur bei, dass man keine echte IPv4 bekommt und den Umweg über einen Mietserver gehen muss.
IPv4 interessiert uns aber nicht.
Die Verbindung soll von außen per IPv6 auf den Raspberry IPv6 gehen.
Oder worauf willst du hinaus ?

Habe bei mir den Raspberry mal kurz als "exposed" freigegeben über IPv6 und komme (vom Mobilfunk aus) per IPv6 Adresse des RPi sofort drauf und kann ihn auch pingen - das muss bei 1&1 auch gehen.
Mitglied: aqui
aqui 03.06.2020 um 22:35:22 Uhr
Goto Top
und probiert ob man den RPi (per vollständiger IPv6 Adresse) anpingen kann - klappt nicht.
Ist doch auch logisch ! Denke bitte mal selber nach ! Logischerweise verhindert das die IPv6 Firewall. Im Default lässt die natürlich keinen Zugriff auf das lokale IPv6 LAN zu. Das sagt einem doch schon der gesunde IT Verstand. Um den RasPi von außen per v6 zu erreichen musst du das per Regel explizit in der v6 Firewall erlauben. Du würdest das sicher auch nicht witzig finden wenn die v6 Firewall alles in dein lokales LAN erlauben würde. Bedenke hier immer das es bei v6 kein NAT gibt. Unter v6 hast du auch intern ein öffentliches Netz.
Port 1723 ist nebenbei ziemlicher Blödsinn und nicht besonders intelligent, denn das ist ein von der IANA weltweit offiziell reservierter Port für das PPTP Protokoll !!
RPi hat natürlich eine feste IPv6 Adresse
Welche denn ?
https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7490/017p1/hilfe_portf ...
https://www.new.de/fileadmin/user_upload/new.de/Dokumente/Glasfaser/Fern ...
Mitglied: Avenga
Avenga 03.06.2020 aktualisiert um 22:38:38 Uhr
Goto Top
Wie gesagt, bei mir Zuhause als exposed Host kann ich von draußen anpingen und aufs Webinterface. exposed Host heißt Firewall der FB aus.

Die 2003: Adresse, das ist die nach außen öffentliche, die fd /fe sind nur intern.
Mitglied: aqui
aqui 03.06.2020 aktualisiert um 22:52:05 Uhr
Goto Top
die fd /fe sind nur intern.
Das kann dann auch nicht gehen. Du weisst sicher das das Link Local Adressen sind die NICHT routebar sind. Sie sind quasi vergleichbar mit den privaten IPv4 RFC 1918 IP Adressen !
https://de.wikipedia.org/wiki/IPv6#Link-Local-Unicast-Adressen
Das zeigt das die Fritzbox falsch oder fehlerhaft eingerichtet ist oder gar nicht für IPv6 aktiviert ist.
Normal müsste sie das vom Provider per Prefix Delegation übergebene Prefix ins interne Netz übergeben so das du dort auch eine 2003::... IP bekommen solltest.
Fazit:
IPv6 ist am Router deaktiviert oder falsch konfiguriert. Ohne gültige IPv6 IP Adresse ist es ja logisch das das nicht gehen kann. Das weiss auch ein völliger Laie.
Mitglied: Avenga
Avenga 04.06.2020 um 07:35:40 Uhr
Goto Top
Das hast du falsch verstanden, also noch mal:
Mit der [2003:...]:8080 als exposed Host komme ich von außen bei mir sofort auf das Webinterface. Bzw. ping6 -c3 [2003:...] kann ich den RPi anpingen.

Jetzt ist die Frage warum das beim Kollegen nicht geht, wenn er den RPi als exposed Host frei gibt.
Hier kommt er bzw. ich mit [2001:...]:8080 oder ping6 nicht drauf !

Der RPi bekommt die 3 IPv6 Adressen, 2001:... + fd.... + fe...

In seinem Netzwerk kommt man mit den 3 IPv6 Adressen auf das Webinterface bzw. kann ihn anpingen.

Die FB ist korrekt eingerichtet für IPv6.
Mitglied: aqui
aqui 04.06.2020 um 10:06:39 Uhr
Goto Top
komme ich von außen bei mir sofort auf das Webinterface.
Was für ein Webinterface ?? Das des Routers oder das des RasPis im lokalen LAN ?
Gut, wenn es der RasPi ist haben wir uns missverstanden, sorry.
In seinem Netzwerk kommt man mit den 3 IPv6 Adressen auf das Webinterface bzw. kann ihn anpingen.
OK, das wäre dann korrekt und zeigt das die Prefix Delegation sauber funktioniert.
Das MUSS zwingend auf der anderen Seite auch so sein. Logisch sonst gibt es keine IPv6 Connectivity !!
Du musst also sicherstellen das dort auch eine gültige IPv6 intern per Prefix Delegation vergeben wird.
Ist das nicht der Fall bleibt es dabei das dann dort der Router in puncto IPv6 gar nicht oder fehlerhaft konfiguriert wurde !! Oder...
Der dortige Provider kann kein Dual Stack mit IPv6.
Mitglied: Avenga
Avenga 04.06.2020 um 13:52:28 Uhr
Goto Top
Ein spezielles Webinterface was sich hinter Port 8080 des RPi verbirgt.

Wir werden heute noch mal den RPi aus der FritzBox löschen und neu erkennen/anlegen.
Mitglied: aqui
aqui 04.06.2020 um 14:51:11 Uhr
Goto Top
Wir sind gespannt... ;-) face-wink