Kann mich nicht per IPv6 GUA zu OpenVPN verbinden

[stna1981]

Hallo zusammen,

nachdem mein Deutsche Glasfaser-Internet jetzt endlich läuft, versuche ich gerade, mein PiHole + PiVPN auf IPv6 umzustellen. Habe auch schon diverse Guides durch, samt VPS etc., aber bekomme einfach keine Verbindung.

Ich habe mich dem Problem jetzt von der internen Seite angenähert.
-> Verbindung im LAN vom Smartphone zum OpenVPN server (Raspberry) per IPv4: geht
-> Verbindung im LAN vom Smartphone zum OpenVPN server (Raspberry) per IPv6 ULA-Temporary: geht
-> Verbindung im LAN vom Smartphone zum OpenVPN server (Raspberry) per IPv6 GUA-Temporary: geht (er hat zwei davon, warum auch immer)
-> Verbindung im LAN vom Smartphone zum OpenVPN server (Raspberry) per IPv6 GUA: geht nicht -> Fehler: no route to host

Jetzt ist die GUA ja aber genau diejenige, die per MyFRITZ von außen angesprochen werden soll und auf die der VPS umleitet (VPS für fete IPv4-Adrese). Warum kann ich nicht per GUA auf den Raspi connecten? Ich habe in der Fritz!Box (5690 Pro) eine Freigabe für TCP Port 1194 (IPv4 und IPv6) eingerichtet (TCP wegen 6tunnel auf VPS), also sollten die Anfragen an die GUA auf diesem Port doch direkt an den RPi durchgereicht werden. Scheint aber nicht zu klappen, wo liegt möglicherweise mein Denkfehler?

Viele Grüße

Stefan

 

[herrhannes]

Wieso VPS? Einfach direkt auf den UDP-Port und fertig. Freigabe für IPv4 bringt dir bei DG natürlich nichts.

 

[stna1981]

Ich möchte mich auch aus Netzen zum VPN connecten können, die kein IPv6 unterstützen. Gibts ja leider immer noch viele. Der VPS spielt beim aktuellen Problem ja aber noch gar keine Rolle...

 

[herrhannes]

Auch dann bringt die IPv4-Freigabe in der FB nichts. Du musst dennoch auch Port 1194 per UDP auf dem Pi freischalten, oder lässt du OVPN auf TCP laufen?

 

[stna1981]

Ja, OVPN läuft per tcp6. Ich kann die IPv4-Freigabe natürlich entfernen, aktuell nutze ich aber noch Telekom parallel, bis die Telefonnummern umgezogen sind. Sie stört ja aber aktuell nicht. Die Frage ist, warum erreiche ich den RPi nicht per GUA.

 

[herrhannes]

Telekom parallel, heißt das, du hast das Ding hinter eine andere Fritzbox/o.Ä. gehängt? Oder umgekehrt?

 

[stna1981]

Parallel heißt, dass ich primär per Telekon drin bin und zum Testen bestimmter Dinge die Verbindung über DG herstelle. Die 5690 kann ja beides. Es gibt nur diese FB und da hängt das gesamte LAN dran.

 

[herrhannes]

Mach halt mal ne Traceroute von außen, wo es hängt. Du verwendest aber schon die Adresse, die mit 2a00: beginn? Und wo hat der Pi die her? SLAAC oder DHCPv6 oder ...?

 

[stna1981]

Die IPv6 beginnt mit 2003. SIe besteht aus dem öffentlichen Prefix, der wird von der FB mWn per Router-Advertisement verteilt und der IPv6-Interface-ID. Die MAC wird derzeit nicht verwendet, um die IPv6 zu generieren. Die FB ist so eingestellt: "DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen"

 

[herrhannes]

2003 klingt für mich aber eher nach Telekom? Oder probierst du das alles noch mit dem Telekom-Anschluss?

 

[norKoeri]

„DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen“

Das bitte nicht, außer Du hättest ein statisches IPv6-Präfix. Maximal IA_PD zuweisen. Brauchst Du Präfix-Delegation nicht, besser den DHCPv6-Server ganz abschalten, denn braucht niemand mehr, das war für alte Windows-Versionen, die noch kein RDNSS konnten und selbst dort eigentlich unnütz.

Wenn Du aber auch noch IA_NA machst, dann wird per DHCPv6 zugewiesen und nicht per SLAAC ermittelt. Das haut Dir in Deutschland mit dynamischen IPv6-Präfixen laufend um die Ohren, weil die Betriebsysteme kein DHCPv6-Reconfigure können.

 

[stna1981]

2003 klingt für mich aber eher nach Telekom? Oder probierst du das alles noch mit dem Telekom-Anschluss?

Aktuell bin ich wie gesagt überwiegend noch per Telekom DSL eingewählt, da die Telefonie noch bei der Telekom liegt. Letztlich sollte es ja aber egal sein, ob die IPv6 jetzt von DTAG oder DG kommt.

Das bitte nicht, außer Du hättest ein statisches IPv6-Präfix. Maximal IA_PD zuweisen. Brauchst Du Präfix-Delegation nicht, besser den DHCPv6-Server ganz abschalten, denn braucht niemand mehr, das war für alte Windows-Versionen, die noch kein RDNSS konnten und selbst dort eigentlich unnütz.

Wenn Du aber auch noch IA_NA machst, dann wird per DHCPv6 zugewiesen und nicht per SLAAC ermittelt. Das haut Dir in Deutschland mit dynamischen IPv6-Präfixen laufend um die Ohren, weil die Betriebsysteme kein DHCPv6-Reconfigure können.

Ok ich habe es jetzt umgestellt. Das hat aber mit meinem Problem nicht direkt was zu tun, oder?

 

[norKoeri]

Doch, kann sein, dass er noch die falsche IPv6-Adresse gespeichert hatte, also die für den vorherigen Internet-Anschluss und keine neue DHCv6-Anfrage gemacht hat. Warum auch? Aber die non-Temporaries sich aus dem neuen SLAAC gebildet hat. Aber das hätte man am IPv6-Präfix sehen können. Nach dem Umklemmen des Internet-Anschlusses auf jeden Fall den Raspberry Pi neu starten.

 

[stna1981]

Geändert hat sich dadurch ein sudo reboot eigentlich nichts. Was schon vorher seltsam war ist, dass mir der Raspberry bei

ip addr show dev eth0

nur seine LLA, ULA-Temp und die GUA-Temp anzeigt, aber nicht seine GUA.
Die sehe ich immer nur in der FB. Ist das normal?

Ich würde annehmen, dass ein Gerät seine eigene GUA kennen sollte. Evtl. ist das der Grund, warum er unter der GUA nicht erreichbar ist...

 

[norKoeri]

Ne, das ist nicht normal. Die Frage wäre jetzt, warum dem so ist:

Die MAC wird derzeit nicht verwendet, um die IPv6 zu generieren.

Wie hast Du das erreicht? Nicht dass Du das falsch gemacht hast.

 

[stna1981]

Aktiv hab ich da gar nichts gemacht. Was ich so gelesen habe, sind standardmäßig diese Privacy Extensions aktiv, die genau das verhindern. Wenn man will, dass die Interface-ID aus der MAC abgeleitet wird, soll man diese deaktivieren, was ich bisher nicht habe. Sollte man die ID immer aus der MAC generieren? An für sich sollte es doch auch mit "zufälligen" Interface-IDs funktionieren, wenn diese dann immer per MyFritz! gemapped werden?

Ein Ping auf die GUA aus dem gleichen LAN geht auch nicht. Irgendwas ist da definitiv nicht so, wie es sein soll.

EDIT:
Ich habe die Privacy Extension jetzt mal deaktiviert. Es gibt jetzt laut FB eine LLA-Temp, eine ULA-Temp und eine GUA-Temp, alle 3 enden gleich und enthalten einen Teil der MAC-Adresse. Es gibt anders als zuvor keine GUA mehr, die nicht temporär ist (in der FB).

 

[norKoeri]

Also unter Ubuntu 24.04 LTS, welches ja ebenfalls Debian basiert ist, steht dann „mngtmpaddr“.

sollte es doch auch mit "zufälligen" Interface-IDs funktionieren, wenn diese dann immer per MyFritz! gemapped werden?

Gute Frage. Hat bei mir nie geklappt, habe ich aber auch nie weiter recherchiert. Aber wohl soll die FRITZ!Box die neue IPv6-Adressen wissen, also nach einem Präfix-Wechsel?

Aktiv hab ich da gar nichts gemacht.

Hatte mich verlesen und es gerade verdreht. Ja, so ist der Auslieferungszustand. Puh, erscheint dann keine „mngtmpaddr“ IPv6?

FRITZ!Box 5690 Pro

Früher musste man die ganze FRITZ!Box neu starten, damit der DHCPv6-Server auch wirklich aus war. Keine Ahnung, ob das inzwischen behoben wurde. Mein Tipp: Datenverkehr mitschneiden, also ob das Gerät noch DHCPv6 macht oder nicht.

 

[cbtaste420]

Was ich so gelesen habe, sind standardmäßig diese Privacy Extensions aktiv

Da ich mich in den letzten Tagen damit zufällig beschäftigt habe, wie werden die Interfaces verwaltet, per NetworkManager?

 

[stna1981]

Ja es ist das aktuelle Raspberry OS drauf. Ich hab's inzwischen hinbekommen, dass der RPi ne feste Interface-ID aus der MAC generiert. Die musste ich dann noch in der FB updaten, da das nicht automatisch passiert. Dann musste ich auch noch ein Update von MyFRITZ manuell anstoßen, da das irgendwie trotz neuem Verbindungsaufbau nicht automatisch erfolgte. Jetzt klappt es auch mit dem VPN. Mit einer "dynamischen" Interface ID kann es mMn nur funktionieren, wenn die von der FB an den Client gepushed wird (wegen Update von MyFRITZ oder DynDNS), was ich ja aber ausschalten sollte. Wie stabil ist denn die Interface-ID bei SLAAC, wenn sie nicht aus der MAC generiert wird?

 

[h00bi]

Dafür ists vermutlich zu spät, aber als Baseline hätte ich empfohlen, zuerst mal das Wireguard VPN auf der Fritzbox zu aktivieren und zu schauen, ob du damit von einer externen IPv6 Adresse drauf kommst.

Jetzt ist die GUA ja aber genau diejenige, die per MyFRITZ von außen angesprochen werden soll

Die myfritz Adresse hat nichts mit deinem Pi zu tun. Myfritz geht auf die WAN IPv6 der Fritzbox.

Du machst dir die IPv6 vergabe auch viel zu kompliziert. Du kannst einfach das Präfix vom ISP nehmen und dann durchnummerieren (wie bei 192.168.0.) 1,2,3.... usw. oder du nutzt halt DHCPv6 mit Reservierung.
IPv6 sieht wegen der Länge und Hex einfach komplizierter aus, ist es aber eigentlich gar nicht.

Siehe Grafiken hier: https://www.elektronik-kompendium.de/sites/net/1902111.htm

0000:0000:0000:0001 (oder kurz ::1) ist ein völlig legitimer interface identifier!
Deine Fritzbox macht die Präfix Delegation und du hängst einfach ::1 an