9
Zugriff von außen VPN per IPv6 am 1u1 DS-lite
Hallo,
ich habe gerade probiert bei einem Kollegen Wireguard einzurichten an einem 1&1 DS lite Anschluss über IPv6.
Bei mir Zuhause läuft es einwandfrei, allerdings echtes DS (Telekom). Ich komme sowohl über IPv4 als auch über IPv6 rein !
Wir haben Port 51820 und 1723 getestet.
Zwischendurch haben wir sogar exposed Host eingestellt und probiert ob man den RPi (per vollständiger IPv6 Adresse) anpingen kann - klappt nicht.
Als würde 1&1 keine eingehenden Verbindungen zulassen.
Ich steh´ auf dem Schlauch.
Wireguard an sich funktioniert im internen Netzwerk, das haben wir getestet.
Nur Internet -> IPv6 -> FritzBox 7590 ist irgendwo der Wurm drin.
RPi hat natürlich eine feste IPv6 Adresse (Interface-Identifier).
Ich habe alle Einstellungen mit meinen verglichen, einziger Unterschied ist halt DS-lite <-> DS.
Wenn 1&1 blockiert dann kann ich lange suchen.
Vielleicht hat Jemand einen heißen Tipp für mich.
ich habe gerade probiert bei einem Kollegen Wireguard einzurichten an einem 1&1 DS lite Anschluss über IPv6.
Bei mir Zuhause läuft es einwandfrei, allerdings echtes DS (Telekom). Ich komme sowohl über IPv4 als auch über IPv6 rein !
Wir haben Port 51820 und 1723 getestet.
Zwischendurch haben wir sogar exposed Host eingestellt und probiert ob man den RPi (per vollständiger IPv6 Adresse) anpingen kann - klappt nicht.
Als würde 1&1 keine eingehenden Verbindungen zulassen.
Ich steh´ auf dem Schlauch.
Wireguard an sich funktioniert im internen Netzwerk, das haben wir getestet.
Nur Internet -> IPv6 -> FritzBox 7590 ist irgendwo der Wurm drin.
RPi hat natürlich eine feste IPv6 Adresse (Interface-Identifier).
Ich habe alle Einstellungen mit meinen verglichen, einziger Unterschied ist halt DS-lite <-> DS.
Wenn 1&1 blockiert dann kann ich lange suchen.
Vielleicht hat Jemand einen heißen Tipp für mich.
Auf Facebook teilen
Auf Twitter teilen
Auf Reddit teilen
Auf Linkedin teilenBitte markiere auch die Kommentare, die zur Lösung des Beitrags beigetragen haben
Content-ID: 576351
Url: https://administrator.de/contentid/576351
Ausgedruckt am: 22.11.2024 um 04:11 Uhr
9 Kommentare
Neuester Kommentar
Hi,
1u1 blockiert das nicht. Im Netz finden sich einige Anleitungen wie man einen Fernzugriff über DS Lite einrichten kann. Der feine Unterschied macht das Wort Lite. Dual Stack und Dual Stack Lite sind nicht das selbe. Über normales Dual Stack sollte der Zugriff möglich sein, über Lite ebenfalls, aber nur mit ein paar kleinen Zusatztricks.
Grüße
1u1 blockiert das nicht. Im Netz finden sich einige Anleitungen wie man einen Fernzugriff über DS Lite einrichten kann. Der feine Unterschied macht das Wort Lite. Dual Stack und Dual Stack Lite sind nicht das selbe. Über normales Dual Stack sollte der Zugriff möglich sein, über Lite ebenfalls, aber nur mit ein paar kleinen Zusatztricks.
Grüße
Bei den "Lite" Anleitungen steht immer nur bei, dass man keine echte IPv4 bekommt und den Umweg über einen Mietserver gehen muss.
IPv4 interessiert uns aber nicht.
Die Verbindung soll von außen per IPv6 auf den Raspberry IPv6 gehen.
Oder worauf willst du hinaus ?
Habe bei mir den Raspberry mal kurz als "exposed" freigegeben über IPv6 und komme (vom Mobilfunk aus) per IPv6 Adresse des RPi sofort drauf und kann ihn auch pingen - das muss bei 1&1 auch gehen.
IPv4 interessiert uns aber nicht.
Die Verbindung soll von außen per IPv6 auf den Raspberry IPv6 gehen.
Oder worauf willst du hinaus ?
Habe bei mir den Raspberry mal kurz als "exposed" freigegeben über IPv6 und komme (vom Mobilfunk aus) per IPv6 Adresse des RPi sofort drauf und kann ihn auch pingen - das muss bei 1&1 auch gehen.
und probiert ob man den RPi (per vollständiger IPv6 Adresse) anpingen kann - klappt nicht.
Ist doch auch logisch ! Denke bitte mal selber nach ! Logischerweise verhindert das die IPv6 Firewall. Im Default lässt die natürlich keinen Zugriff auf das lokale IPv6 LAN zu. Das sagt einem doch schon der gesunde IT Verstand. Um den RasPi von außen per v6 zu erreichen musst du das per Regel explizit in der v6 Firewall erlauben. Du würdest das sicher auch nicht witzig finden wenn die v6 Firewall alles in dein lokales LAN erlauben würde. Bedenke hier immer das es bei v6 kein NAT gibt. Unter v6 hast du auch intern ein öffentliches Netz.Port 1723 ist nebenbei ziemlicher Blödsinn und nicht besonders intelligent, denn das ist ein von der IANA weltweit offiziell reservierter Port für das PPTP Protokoll !!
RPi hat natürlich eine feste IPv6 Adresse
Welche denn ?https://service.avm.de/help/de/FRITZ-Box-Fon-WLAN-7490/017p1/hilfe_portf ...
https://www.new.de/fileadmin/user_upload/new.de/Dokumente/Glasfaser/Fern ...
Wie gesagt, bei mir Zuhause als exposed Host kann ich von draußen anpingen und aufs Webinterface. exposed Host heißt Firewall der FB aus.
Die 2003: Adresse, das ist die nach außen öffentliche, die fd /fe sind nur intern.
Die 2003: Adresse, das ist die nach außen öffentliche, die fd /fe sind nur intern.
die fd /fe sind nur intern.
Das kann dann auch nicht gehen. Du weisst sicher das das Link Local Adressen sind die NICHT routebar sind. Sie sind quasi vergleichbar mit den privaten IPv4 RFC 1918 IP Adressen !https://de.wikipedia.org/wiki/IPv6#Link-Local-Unicast-Adressen
Das zeigt das die Fritzbox falsch oder fehlerhaft eingerichtet ist oder gar nicht für IPv6 aktiviert ist.
Normal müsste sie das vom Provider per Prefix Delegation übergebene Prefix ins interne Netz übergeben so das du dort auch eine 2003::... IP bekommen solltest.
Fazit:
IPv6 ist am Router deaktiviert oder falsch konfiguriert. Ohne gültige IPv6 IP Adresse ist es ja logisch das das nicht gehen kann. Das weiss auch ein völliger Laie.
Das hast du falsch verstanden, also noch mal:
Mit der [2003:...]:8080 als exposed Host komme ich von außen bei mir sofort auf das Webinterface. Bzw. ping6 -c3 [2003:...] kann ich den RPi anpingen.
Jetzt ist die Frage warum das beim Kollegen nicht geht, wenn er den RPi als exposed Host frei gibt.
Hier kommt er bzw. ich mit [2001:...]:8080 oder ping6 nicht drauf !
Der RPi bekommt die 3 IPv6 Adressen, 2001:... + fd.... + fe...
In seinem Netzwerk kommt man mit den 3 IPv6 Adressen auf das Webinterface bzw. kann ihn anpingen.
Die FB ist korrekt eingerichtet für IPv6.
Mit der [2003:...]:8080 als exposed Host komme ich von außen bei mir sofort auf das Webinterface. Bzw. ping6 -c3 [2003:...] kann ich den RPi anpingen.
Jetzt ist die Frage warum das beim Kollegen nicht geht, wenn er den RPi als exposed Host frei gibt.
Hier kommt er bzw. ich mit [2001:...]:8080 oder ping6 nicht drauf !
Der RPi bekommt die 3 IPv6 Adressen, 2001:... + fd.... + fe...
In seinem Netzwerk kommt man mit den 3 IPv6 Adressen auf das Webinterface bzw. kann ihn anpingen.
Die FB ist korrekt eingerichtet für IPv6.
komme ich von außen bei mir sofort auf das Webinterface.
Was für ein Webinterface ?? Das des Routers oder das des RasPis im lokalen LAN ?Gut, wenn es der RasPi ist haben wir uns missverstanden, sorry.
In seinem Netzwerk kommt man mit den 3 IPv6 Adressen auf das Webinterface bzw. kann ihn anpingen.
OK, das wäre dann korrekt und zeigt das die Prefix Delegation sauber funktioniert.Das MUSS zwingend auf der anderen Seite auch so sein. Logisch sonst gibt es keine IPv6 Connectivity !!
Du musst also sicherstellen das dort auch eine gültige IPv6 intern per Prefix Delegation vergeben wird.
Ist das nicht der Fall bleibt es dabei das dann dort der Router in puncto IPv6 gar nicht oder fehlerhaft konfiguriert wurde !! Oder...
Der dortige Provider kann kein Dual Stack mit IPv6.
Ein spezielles Webinterface was sich hinter Port 8080 des RPi verbirgt.
Wir werden heute noch mal den RPi aus der FritzBox löschen und neu erkennen/anlegen.
Wir werden heute noch mal den RPi aus der FritzBox löschen und neu erkennen/anlegen.
Wir sind gespannt... 
