ComputerBase Menü
Aktuelles

IP Tunneling hinter einem DualStack-Lite NAT

zocki3d

zocki3d

Ensign
Registriert
Jan. 2015
Beiträge
242
Moin, ich gehe mal stark davon aus das 99% der Computerbase.de Nutzer über einen höheren Interlekt verfügen als ich. Deswegen schildere ich hier mal das Problem mit dem ich seit ungelogen Wochen am Kämpfen bin.

Was ich erreichen möchte:
Homeserver (ESXi Host) von außen durch einen Tunnel zugänglich machen, das durch ein bestenfalls flexibles Setup wenn mal mehr Maschinen im Schrank folgen.

Mein grober Plan dafür war, mir einen KVM-Virtualisierten Server im Internetz zu mieten (mit 2IPv4/6 Adressen), auf dem Server ein PfSense laufen zu lassen und einen $Tunnel zwischen dieser und meiner Routing VM auf dem ESXi Server anzubringen. So dass ich im prinizip das gesamte NAT meines Anbieter umgehe, und die Services hinter IP A (lokal, 10.10.X.X) "gespiegelt" mit allen ports an der gleichen stelle auf IP B (öffentlich, 5.230.X.X) auftauchen.

Ich habe nun bereits etliche Stunden mit OpenVPN herumgespielt und bekomme es einfach nicht ans laufen. Zum einen, kann ich die 2. IP Adresse auf dem KVM Server nicht einbinden da diese über das gleiche Interface geliefert kommt, da ich allerdings bei FreeBSD keine ahnung habe wie man ein Interface mit mehreren IP Adressen Konfiguriert, stecke ich da ein wenig fest...

Habe mir auch schon was bzgl. BGP Sessions und IP2IP Tunnels durchgelesen (OpenBGPD,Tinc,Toredo und soetwas), 70% der in der Dokumentation verwendeten lingu verstehe ich nicht. Ich zweifele mittlerweile dauerhaft an meiner eigenen Kompetentz.

Muss ich erst 2 Jahre Kommunikationstechnik Studieren bevor ich das gewerkelt bekomme?

Bitte helft mir ich möchte endlich aus dem Keller und meine Familie wieder sehen.
 
Klar, erfordert aber eben etwas Linux KnowHow.
Wenn der IPv6 OpenVPN Tunnel steht einfach mit iptables die Ports weiterleiten.

Ich hatte für den gleichen Zweck mal bei Netcup einen kleinen VPS und auf diesem OpenWRT am laufen.
 
Bei Unitymedia? Powerupload (doppelter Upload) buchen für 2,99€/mtl und echten dual Stack danach -> IPv4 nutzen
 
till69 schrieb:
Wenn der IPv6 OpenVPN Tunnel steht einfach mit iptables die Ports weiterleiten.
Zum Vergrößern anklicken....
Gibts dafür ein Manual bzgl. Konfiguration von IPTables?

Chopchop schrieb:
Bei Unitymedia?
Zum Vergrößern anklicken....
Nein bin nicht bei Unitymedia, kann bei meinem Anbieter auch kein DualStack buchen.
 
zocki3d schrieb:
Möchte ungerne auf "Schlüsselfertige", Stark Trafficbeschränkte an Anbieter gebundene Lösungen setzen. Wenn mich ein KVMServer Anbieter mal nicht mehr mag, wird halt zum nächsten gesprungen. Geht bei der Lösung nicht.

Was "Portunity" da nutzt ist ja etwas OpenVPN basiertes, müsste man ja theoretisch nachbauen können, oder?
Zum Vergrößern anklicken....

Du wolltest doch aus dem Keller wieder rauskommen. :-) Ich nutze das "Fest-IP-Kit" Advanced von Portunity. Ich hab bestimmt zwei Tage gebraucht, um das überhaupt in mein Hirn zu bekommen, was da wirklich passiert.

Jedenfalls bekommt man für die Kohle fünf IPv4-Adressen und die SD-Karte, der Raspi kommt dann noch onTop. Das läuft dann erstmal von selbst, aber damit hat man halt nur fünf IPv4-Adressen die im LAN ankommen, um damit was zu machen braucht es noch weiteren Schmalz.

Ich nutze auf meinem ESX dafür eine Sophos UTM Home, für jede ipv4-WAN-Adresse einen separaten virtuellen NIC sowie einen internen. Etwas NAT- und Firewall-Gekröse und es läuft.

Ein Traffic-Limit ist mir dabei noch nicht aufgefallen, dass ist für mich auch sekundär. Jetzt bekomme ich heute allerdings Glasfaser geschaltet, da wecken die 20 Mbit die der Raspi nur packt, wieder Begehrlichkeiten, aber das kann man ja lösen. Dafür kann ich mir einen virtuellen Kram machen wie ich will.
 
Cat Toaster schrieb:
Du wolltest doch aus dem Keller wieder rauskommen. :-) Ich nutze das "Fest-IP-Kit" Advanced von Portunity.
Zum Vergrößern anklicken....
MIr geht es halt darum unabhängig von einem anbieter zu sein, und ein wenig mehr "Herr der Sache" zu sein.
Außerdem gefällt mir diese "1Jahr Mindestvertragslaufzeit+1Jahr Vorauszahlen" Logik auch nicht wirklich...
Ergänzung ()

till69 schrieb:
Google zeigt Dir tonnenweise iptables Beispiele ;)
Zum Vergrößern anklicken....
Werde das pfSense von der KVM mal mit OpenWRT ersetzen, hab ich garnicht dran gedacht, wusst garnicht das owrt auch auf x86 läuft :o
 
Zuletzt bearbeitet:
gaym0r schrieb:
Warum willst du eigentlich OpenVPN nutzen und nicht IPsec VPN?
Zum Vergrößern anklicken....
Opensource, wenigstens minimal Erfahrungen mit OpenVpn meinerseits. Meistens schneller als iPsec
 
zocki3d schrieb:
Meistens schneller als iPsec
Zum Vergrößern anklicken....

Hm. Im Vergleich zu OpenVPN bietet StrongSwan z.B. Multithreading und bietet in der Praxis meistens die besseren Geschwindigkeiten.

Probleme ein IPsec aufzubauen, bei der sich eine Seite hinter einem Provider-Router mit CG-Nat und DSlite befindet, hatte ich auch noch nicht.
 
gaym0r schrieb:
Hm. Im Vergleich zu OpenVPN bietet StrongSwan z.B. Multithreading und bietet in der Praxis meistens die besseren Geschwindigkeiten.
Zum Vergrößern anklicken....
Habe IPsec nur einmal ausprobiert, vll. War der Server etwas komisch, aber der auf dem selben system laufende OpenVpn Service hat das 8 fache an Durchsatz gebracht.
Wie gesagt; Samplesize = 1

gaym0r schrieb:
Probleme ein IPsec aufzubauen, bei der sich eine Seite hinter einem Provider-Router mit CG-Nat und DSlite befindet, hatte ich auch noch nicht.
Zum Vergrößern anklicken....
Das Problem hatte ich mit OpenVPN auch noch nicht
 
  • Gefällt mir
Reaktionen: gaym0r
konkretor schrieb:
Schau dir mal softether an
Deckt alles vpn mäßige ab
Zum Vergrößern anklicken....
Läuft SoftEther auch unter Linux und FreeBSD? Die Doku auf der Website von SoftEther ist sehr Windows haltig
 
Gibt sogar ein Plugin für opnsense. Läuft unter Linux alles was ne cli hat. Gui admin Werkzeug gibts für Windows oder in den config Dateien
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

Anonymous User
opnsense wireguard ip routing
Antworten
17
Aufrufe
837
Anonymous User
Anonymous User
G
Unraid + Dualstack Wireguard mit IPv6 NAT Fritzbox 6660 Cable
Antworten
6
Aufrufe
1.758
Frettchen!
F
G
Mikrotik IPv6 Kaskadierung zu UDM Pro
Antworten
4
Aufrufe
1.088
GCCM
G
DFFVB
Kurzes Review Qnap Qhora 301 / verschieden WLAN Router im Vergleich (Asus, Zyxel, QNAP, Synology)
Antworten
1
Aufrufe
353
Mickey Mouse
Mickey Mouse
risingSilence
Dedizierte VPN IP von überall - mit Dual Wan für Fallback und Killswitch bei VPN Trennung - alles routerseitig. Möglich?
Antworten
14
Aufrufe
2.456
risingSilence
risingSilence
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 165 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz