Kein IPv6 über WireGuard, iOS und DuckDNS aus dem VPN-Tunnel

[CaptainPighead]

Hallo zusammen,

ich habe eine Frage an die WireGuard IPv6 Gurus, speziell in der Kombination:

FritzBox/FritzOS - WireGuard VPN - iPhone/iOS - DuckDNS als DynDNS Dienst

Provider: Telekom, ich bin hier mit einer IPv6 unterwegs, DynDNS ist aktiv für IPv4/v6:

WireGuard Profil und Tunnel habe ich erfolgreich aufgebaut und kann mich unter iOS WireGuard auch verbinden:

Die FritzBox aktualisiert erfolgreich IPv4/v6 zu meinem DuckDNS/DynDNS Profil:

Wenn ich meine öffentliche IPv6 auf meinem Desktop checke, wird sie auch angezeigt und alles funktioniert:

Wenn ich jedoch auf meinem iPhone den Tunnel aufgebaut habe und meine IPv6 prüfe, habe ich dort keine IPv6:

Frage: woran liegt das? Liegt es an DuckDNS? Oder am WireGuard Tunnel über iOS?

Was ich nicht checke:

Wenn ich bei DNSChecker meine persönliche DuckDNS Domain die ich für DynDNS nutze für IPv6 prüfe, bekomme ich AAAA Records für IPv6 angezeigt:

Wenn ich auf meinem Desktop auf dem Terminal einen nslookup mache, bekomme ich aber nur A, jedoch keine AAAA Records:

 ~ % nslookup meineSubdomain.duckdns.org
Server:        10.30.11.1
Address:    10.30.11.1#53

Non-authoritative answer:
Name:    meineSubdomain.duckdns.org
Address: 9X.XX.XXX.X8

Was muss ich machen, damit ich über den WireGuard Tunnel auch IPv6 Konnektivität erhalte?

 

[CoMo]

Was hast du auf dem iPhone überhaupt für eine Adresse? Private Relay?

 

[Innensechskant]

Ich kann dir nur von DuckDNS abraten, das funktioniert leider nur noch ziemlich unzuverlässig.

Wenn du auf der FritzBox WireGuard verwendest, sollte es dich eigentlich aufgefordert haben, das MyFritz-DynDNS zu verwenden, damit sollte auch ipv6 funktionieren (und es ist für meine Dinge zuverlässiger).

 

[CaptainPighead]

Was hast du auf dem iPhone überhaupt für eine Adresse? Private Relay?

Was meinst Du genau? Private Relay von Apple nutze ich nicht. Ich habe wenn ich über den WireGuard Tunnel auf iOS rauskomme, die IPv4 meiner FritzBox (wie erwartet - OK), aber keinerlei IPv6. Wenn ich mit dem iPhone testweise auf irgendeine "CheckIP" Seite gehe, schlägt dort der IPv6 Test fehl.

Ich kann dir nur von DuckDNS abraten, das funktioniert leider nur noch ziemlich unzuverlässig.

Wenn du auf der FritzBox WireGuard verwendest, sollte es dich eigentlich aufgefordert haben, das MyFritz-DynDNS zu verwenden, damit sollte auch ipv6 funktionieren (und es ist für meine Dinge zuverlässiger).

Wenn es definitiv an Duck liegt - bisher fand ich die immer gut (gratis, kein eigener Account notwendig, sind schon seit sehr langem online) - dann schaue ich im Zweifel nach einer Alternative. MyFritz habe ich noch nicht genutzt, eine Aufforderung kommt in FritzOS auch nicht. Ich kann dort ja direkt WireGuard ansteuern und packe dann meine Duck Update-URL mit dem Token rein - fertig.

Kannst Du MyFritz empfehlen und geht dort auch IPv6 problemlos?

 

[TomH22]

Private Relay von Apple nutze ich nicht.

Ist auch in diesem Zusammenhang irrelevant.

Ich habe wenn ich über den WireGuard Tunnel auf iOS rauskomme, die IPv4 meiner FritzBox (wie erwartet - OK), aber keinerlei IPv6. Wenn ich mit dem iPhone testweise auf irgendeine "CheckIP" Seite gehe, schlägt dort der IPv6 Test fehl.

Per Default (mit dem Assistenten eingerichtet) wird erst mal nur IPv4 getunnelt, außerdem geht aller Internetverkehr des iPhones über den Tunnel, nicht nur Zugriffe auf das „Heimnetz“.
Man kann auch IPv6 einrichten, aber da bekommt der Client nur eine „Unique lokal“ Adresse, erkennbar daran, dass sie mit „fd“ startet. Das ist im Prinzip eine private IPv6. Mit der kann man aber nur auf Geräte im Heimnetz zugreifen, sie wird nicht ins Internet gerouted. Insofern kann man mit IPv6 im Tunnel in der Praxis nicht viel anfangen.
Ich habe das Feature zuletzt vor mehr als einem Jahr probiert, daher eeiß ich nicht, ob sich kürzlich was geändert hat.

Ergänzung (Mittwoch um 02:24)

Kannst Du MyFritz empfehlen und geht dort auch IPv6 problemlos?

Der DDNS hat ja nichts mit IPv6 im Tunnel zu tun, sondern dient nur dem Aufbau des Tunnels über IPv4 oder IPv6. Das unterstützt MyFRITZ! problemlos.

 

[keinFischBitte]

@CaptainPighead Das was du willst, ist im Moment (scheinbar) nicht mit der FritzBox möglich. Ich habe das bei mir auch kurz gecheckt und bin auf das Wissensdokument von Fritz gestoßen.
https://fritz.com/apps/knowledge-ba...t-die-FRITZ-Box-IPv6-Netzwerkverkehr-uber-VPN

 

[CaptainPighead]

Erstmal lieben Dank für all Euer Feedback!

@CaptainPighead Das was du willst, ist im Moment (scheinbar) nicht mit der FritzBox möglich. Ich habe das bei mir auch kurz gecheckt und bin auf das Wissensdokument von Fritz gestoßen.
https://fritz.com/apps/knowledge-ba...t-die-FRITZ-Box-IPv6-Netzwerkverkehr-uber-VPN

😮 wow - ok. Dann liegt es also weder an DyDNS (Danke @TomH22 für die Klarstellung) oder dem WireGuard Setup von mir sondern ist schlicht eine (noch) Limitation von FritzOS. Zitat von der Seite:

We are working on a solution and will make internet access via IPv6 possible via the remote FRITZ!Box in a future FRITZ!OS update.

Heisst: mglw. kommt da in der Zukunft ein FritzOS Update, welches dann ausgehenden IPv6 Internetverkehr aus dem (WireGuard-) Tunnel ermöglicht. Also Abwarten und Tee trinken.

Danke auf jeden Fall bis hierhin! @Innensechskant habe mich für MyFritz jetzt auch registriert und denke, ich werde von Duck wechseln. Danke für den Hinweis.

 

[CoMo]

Also Abwarten und Tee trinken.

Oder einfach Wireguard auf einem beliebigen anderen Gerät installieren. Der Server muss doch nicht zwingend die Fritzbox sein.

 

[TomH22]

Das wird mit einem anderen Gerät auch nicht unbedingt einfacher. Man müsste per prefix Delegation einen Teil der routbaren Adressen in den Tunnel leiten. Keine Ahnung ob das trivial konfigurierbar ist oder überhaupt unterstützt wird.

 

[CaptainPighead]

Kurze Zwischeninfo: ich habe mich jetzt für MyFritz registriert und werde das als DynDNS nutzen (ist auch direkt in FritzOS integriert, daher kein externer Service notwendig, was ich gut finde).

WireGuard noch irgendwo separat aufsetzen übersteigt meine Skills und Zeit, ich wills auch möglich einfach haben. Der Tunnel aus FritzOS klappt auch vom Handling wirklich easy - ich werde dann abwarten, bis irgendwann ein Update nachgeschoben wird. Ist auch nicht so kritisch, mich hatte es einfach interessiert ob es an meinem Setup lag oder ich irgendwas für IPv6 noch übersehen habe...

 

[CoMo]

WireGuard noch irgendwo separat aufsetzen übersteigt meine Skills und Zeit, ich wills auch möglich einfach haben.

Das ist im Grunde ne Sache von 3 Minuten https://www.pivpn.io/

ein pivpn add legt den Client an und dann muss man nur noch die Config auf das Gerät kopieren.

 

[CaptainPighead]

Danke @CoMo - ok, dann habe ich das tatsächlich komplett mißverstanden. mea culpa.

pivpn hatte ich vor Jahren auch mal ausprobiert (hatte erst nicht kapiert, dass Du das als WireGuard Server meintest) Ich nutze einen RasPi auf dem DietPi läuft und da gibt es auch pivpn als vorbereitetes "Package": https://dietpi.com/docs/software/vpn/#pivpn

Präferiert wäre in jedem Fall, wenn Fritz ein Update nachschiebt, da der Tunnel direkt in FritzOS wirklich sehr sauber und leicht aufzusetzen geht. pivpn aber mglw. eine nette Alternative - Danke für den Hinweis! 👍

 

[CoMo]

Ich nutze einen RasPi auf dem DietPi läuft und da gibt es auch pivpn als vorbereitetes "Package": https://dietpi.com/docs/software/vpn/#pivpn

Ganz genau so nutze ich das auch. Nicht auf einem Raspi, sondern auf einem Thin Client, aber ebenfalls über DietPi installiert.

 

[TomH22]

ein pivpn add legt den Client an und dann muss man nur noch die Config auf das Gerät kopieren.

Die Frage ist nur, ob diese Konfiguration dann wie von @CaptainPighead gewünscht dem VPN Client eine ins Internet routbare IPv6 Adresse (im Falle der Telekom, die ja hier als Provider ist, also eine mit 2003: beginnende IPv6) zuweist und korrekt durch den Tunnel leitet.

 

[CoMo]

Meine GUA auf dem via Wireguard verbundenen Android-Telefon ist die GUA des Thin Clients, auf dem der Wireguard Server läuft.