Möglichkeit VPN ins lokale Netz aufzubauen, wenn IP nicht von außen erreichbar

[DorMoordor]

Hallo,

seit ein paar Wochen funktioniert mein bisheriges Setup nicht mehr, da meine externe IP nicht mehr von außen erreichbar ist.
Mein bisheriges Setup sieht so aus, dass ich über Strato und eine eigene Domain per DynDNS eine VPN Verbindung zu mir nach Hause aufgebaut habe. Hat die letzten Jahre auch super geklappt. Jetzt nicht mehr

Ich habe jetzt auch schon versucht, meine IPv6 Adresse zu nehmen, aber selbst das funktioniert nicht (auch kein Ping). Meine externe IP bei mir am Modem ist auch eine andere, als ich bei speedtest.net oder anderen Seiten angezeigt bekomme.

Gibt es eine Möglichkeit irgendwie das Problem zu lösen? Evtl. mit einem VPS bei IONOS einen Tunnel aufzubauen oder so?

Ich hoffe ihr könnt mir helfen

einen schönen Abend noch

 

[nitech]

Wende dich doch an deinen Provider? Wahrscheinlich haben die was umgestellt wenn du bei dir selbst nichts geändert hast.

 

[Nilson]

1. Beim Provider nachfragen, ob du wieder eine eigen IPv4 oder "echten" Dualstack bekommen kannst
2. Sauber auf IPv6 umstellen (du musst die IPv6 deines VPN-Server nehmen, nicht die vom Router. Dann im Router die Firewall entsprechend anpassen. Welcher Router ist es denn?)

Was heißt "über Strato"? Hast du dort nur eine Domain oder auch ein VPS o.ä.?

 

[DorMoordor]

Danke für die schnelle Hilfe.

Also beim Provider hab ich heute schon mal angerufen, der Support konnte mir aber erstmal nicht weiter helfen. Aber das mit Dualstack bzw. eigener IPv4 werde ich trotzdem mal versuchen.

Ich nutze eine Opnsense, also VPN-Server und Router sind bei mir das gleiche.

Ich hab bei Strato nur eine Domain, kein VPS

 

[konkretor]

Reverse VPN?

https://github.com/jessfraz/blog/blob/master/content/post/reverse-vpn-for-all-the-things.md

wenn du einen vserver bei strato hast, wäre das auch ne Lösung

 

[DorMoordor]

@konkretor Reverse VPN klingt nicht schlecht. Im Endeffekt expose ich einen Client nach außen und alles im gleichen Netz ist dann erreichbar. Hab ich das richtig verstanden?

 

[konkretor]

Jein du brauchst irgendwo einen vserver der eine öffentliche IP hat auf den verbindet sich dann der Server im LAN darauf. Dein Mobil Gerät verbindet sich auch auf den vserver mit der öffentlichen IP Adresse.


Schau dir mal die zwei Beispiele hier an

http://www.vpnazure.net/en/


https://www.softether.org/4-docs/2-...T_or_Firewall/1.Dynamic_DNS_and_NAT_Traversal

 

[DorMoordor]

vserver der eine öffentliche IP hat auf den verbindet sich dann der Server im LAN darauf. Dein Mobil Gerät verbindet sich auch auf den vserver mit der öffentlichen IP Adresse.

So hatte ich das schon verstanden. Aber mein Server im LAN wird ja dann von außen erreichbar. Ich habe es zumindest so verstanden, dass mein Mobilgerät kein extra VPN Zugang benötigt. Somit wäre also der Server über die Adresse des vServers online erreichbar und jeder der will könnte drauf zugreifen

 

[konkretor]

Das kannst du machen aber ist nicht gut

 

[DorMoordor]

Vielleicht steh ich grade etwas auf dem Schlauch, aber wie könnte ich es denn machen, dass der Server nicht von allen Geräten im Internet erreichbar ist?

Edit: Wenn ich mich mit dem reverse VPN auf meinen VPN Server verbinde, sollte ich doch immernoch meinen aktuellen VPN nutzen können und mein Server wäre nicht ohne weiteres von außen erreichbar. Oder gibt es eine bessere Methode?

 

[riversource]

Ich habe jetzt auch schon versucht, meine IPv6 Adresse zu nehmen, aber selbst das funktioniert nicht (auch kein Ping).

Wenn du eine IPv6 Adresse hast, dann kann es nur drei Gründe geben, warum das nicht funktioniert hat:

• Du nutzt einen Mobilfunkzugang, der das Routing auf die IPv6 Adresse verhindert
• Deine Firewall
• Dein Client hat keine IPv6 Adresse.

Ansonsten muss das klappen. Überleg noch mal. Ggf. kannst du dir den VPS sparen.

 

[DorMoordor]

Also ich habe gestern versucht die externe IPv6 Adresse meines Routers zu pingen. Von intern ging das, von extern über Handy Hotspot nicht.
Werde ich am Montag mal von Arbeit aus versuchen, nicht dass es am Mobilfunkprovider liegt, dass ich es nicht anpingen kann.

Meine externe IP bei mir am Modem ist auch eine andere, als ich bei speedtest.net oder anderen Seiten angezeigt bekomme.

Gilt auch für IPv6. Also ganz komisch

 

[riversource]

Nutzt du am Anschluss zu Hause einen Mobilfunktarif? Sonst kannst du die Adresse von außen erreichen.

Also ich habe gestern versucht die externe IPv6 Adresse meines Routers zu pingen. Von intern ging das, von extern über Handy Hotspot nicht.

Das ist klar, weil das verhindert die Firewall des Routers. Das musst du explizit freigeben, dass die Adresse pingbar wird.
Dein Handy hat eine IPv6 Adresse?

Gilt auch für IPv6. Also ganz komisch

Ganz im Gegenteil, alles andere wäre eine Katastrophe. Bei IPv6 hat jedes Endgerät im Netz seine eigene öffentliche Adresse. Es ist nicht so, wie bei IPv4, wo bei jedem Endgerät im Netz die IP des Routers angezeigt wird. Bei IPv6 wird dir die Adresse des Endgerätes auf speedtest.net etc. angezeigt, nicht die des Routers. Die Anzeigen auf der Webseite und im Router müssen sich also unterscheiden.
Wenn du mal in die Status-Informationen des Routers schaust: Die Adresse auf der Webseite kommt aus dem Bereich des zugewiesenen Prefixes, richtig?

Das hat auch später Auswirkungen auf Portöffnungen und dyndns. Da müssen nämlich auch die richtigen Adressen rein. Aber dazu kommen wir später.

 

[DorMoordor]

@riversource Nein, ich nutze Kabelinternet von Pyür.

Aktuell läuft mein VPN Server auf meiner OpnSense, also würde es mir schon reichen, wenn ich über IPv6 an das VPN komme. Das ist aktuell auch meine präferierte Lösung.

Wenn ich per IPv6 auf das VPN zugreife, kann ich dann direkt meine lokalen IPv4 Adressen nutzen bzw. auf das IPv4 Netz Routen oder muss ich dann auch intern die IPv6 Adressen nehmen?

 

[riversource]

Wenn ich per IPv6 auf das VPN zugreife, kann ich dann direkt meine lokalen IPv4 Adressen nutzen bzw. auf das IPv4 Netz Routen oder muss ich dann auch intern die IPv6 Adressen nehmen?

Du kannst natürlich dein IPv4 Heimnetz durch einen IPv6 Tunnel schicken, kein Problem.

Wie gesagt, dein Vorhaben sollte problemlos umsetzbar sein. Achte darauf, dass die OPNSense eine statische Host-ID hat und dass die für die Portfreigaben verwendet wird, falls du vor der OPNSense einen anderen Router betreibst. Die OPNSense Adresse muss dann natürlich auch im dyndns verwendet werden, falls du das benutzen willst. Der Rest ist Formsache.

 

[DorMoordor]

Dein Handy hat eine IPv6 Adresse?

Da bin ich mir nicht sicher. Auf wieistmeineip.de wird eine IPv6 Adresse mit angegeben, wenn ich über Mobile Daten gehe. Gibt es irgendwie in Android die Möglichkeit zu sehen, ob ich eine IPv6 Adresse habe?

Wenn mein Handy keine IPv6 Adresse haben sollte, kann ich vom Handy dann trotzdem auf das VPN via IPv6 zugreifen?

Edit: über den Wlan Hotspot vom Handy, kann ich meine OpnSense auf jeden Fall anpingen.

 

[DarkAngel2401]

Wenn mein Handy keine IPv6 Adresse haben sollte, kann ich vom Handy dann trotzdem auf das VPN via IPv6 zugreifen?

Nein, dein Handy bzw. der Mobilfunkbetreiber muss schon IPv6 aktiviert haben, wenn du damit den VPN-Tunnel machen willst.

Aber da du ja auf wieistmeineip.de eine IPv6 siehst, passt das ja.

 

[Holzkopf]

Beim Handy drauf achten das in den APN Einstellungen IPv4/IPv6 gesetzt ist.

 

[riversource]

Auf wieistmeineip.de wird eine IPv6 Adresse mit angegeben

Dann hast du auch eine IPv6 Adresse. Jede weitere Diskussion erübrigt sich.

 

[DorMoordor]

Ich scheine zumindest mit dem Handy via IPv6 bis zur OpnSense zu kommen und das VPN scheint starten zu wollen, aber etwas mit dem Routing haut noch nicht hin (Fehlermeldung beim Client: Network unreachable). Das werde ich mir die Tage mal anschauen. Entweder meine FW Rules sind falsch, ich hab was im OpenVPN verhaun oder beides. Aber das lässt sich lösen, da ich jetzt wenigstens wieder bis zu dem Punkt komme, wo ich was falsch mache, der lässt sich immer am einfachsten lösen.

Euch allen erstmal vielen Dank für die Hilfe