Nutzt jemand IPv64? Und wie sind die Erfahrungen?

[DHC]

Ich hatte kürzlich einen Thread zu einer Sache.
Es ging dabei um Routing von einem PC (Zu Hause) zu einem externen Ort mit Switch zu mehreren Netzwerken über ein Fernwartungssystem (Industrial Router). Das nur kurz erwähnt.
Ich bin da noch immer in Kontakt mit diversen Leuten (Vertriebler/Hersteller), um das Ganze irgendwie zum Laufen zu bekommen.
Aber für den Fall, dass dies, warum auch immer nicht funktioniert, suche ich nach Alternativen.

Ich hatte mir vor kurzem zwei Router von MikroTik beschafft, um diverse Tests durchzuführen. 1 x hEX S (2025) und 1 x L009UiGS-RM.
Man hat bei den MikroTik-Routern viel mehr Einstellmöglichkeiten, als bei den Industrial Routern von diversen Herstellern.
ABER. Man muss auch entsprechendes Wissen mitbringen und wissen, was man tut. Alleine die Anleitung zu RouterOS ist über 1.900 Seiten lang.

Vor kurzem bin ich durch Zufall auf die Seite ipv64.net gestoßen.
Dazu habe ich mir auch schon so einige Videos von Dennis Schröder (Geschäftsführer) angeschaut.
Das Ganze klingt eigentlich sehr vielversprechend.
Ich könnte mir gut vorstellen, dass ich das, was ich vorhabe, über diesen Umweg umsetzen könnte.

Theoretisch sollte man das Ganze auch direkt selber ohne externe Dienste mit zwei Router über Wireguard verbunden bewerkstelligen können. Aber darum geht es mir nicht.

Ich wollte einfach mal wissen, wie die Erfahrungen rund um IPv64 sind?

 

[derchris]

Dennis ist ein guter, innovativ, tolle Dienste, faire Dienstleistungen.

Aber was willst du überhaupt machen/erreichen?

Nur zwei Standorte verbinden? privat? gewerblich? Warum die MikroTik? Das waren noch nie die Easy To Use Geräte?

 

[Muffknutscher]

Moin, ich weiß nicht genau was du eigentlich genau machen möchtest... Um welchen Dienst von ip64 geht es dir denn? DynDNS, DNS, Proxy, VPN?

Eine Verbindung zwischen zwei Standorten macht man via VPN und Routet dann entsprechend in das Netz/Netze. Du möchtest sicher nicht, das Dienste frei im Internet zu erreichen sind.

Ich verstehe nicht wie dir ip64 dabei helfen soll einen externen Standort zu erreichen.

 

[prian]

Mir ist auch nicht ganz klar was der tiefere Sinn mit ipv64.net ist, was also von dieser Firma genutzt werden soll.

Ich habe vor etlichen Jahren auch eine Firma + drei Filialen zusammengebracht.
Hauptsitz + jede Filiale hat einen LANCom Router und es sind VPN-Tunnel von Hauptsitz zu jeder Filiale aufgebaut, Außen"stehende" wählen sich bei Bedarf mittels LANCom-Client via VPN noch zusätzlich ein.

Ist es das was Du erreichen willst? (bei meinem Szenario wäre keine weitere Firma notwendig)
Falls nein, dann bitte das Ziel näher erläutern.

 

[qiller]

Die Dienste von ipv64.net brauchst du primär, wenn du Probleme mit DSLite, CGNAT hättest. Ansonsten wirst du mit Mikrotik Routern alles hinkriegen, was du machen willst. Das Problem dabei ist dir ja schon bekannt: Es ist nicht so einfach, wie bei Routern anderer Hersteller :>.

 

[DHC]

Danke schon mal für einige Rückmeldungen.

Bevor alle Panikattacken wegen irgendwelcher Sicherheitsprobleme bekommen. Hier kurz eine Erläuterung zu dem Ganzen.
Bisher hatte ich immer nur die Konstellation, dass ich mich mit einer Anlage = ein IP-Netz verbinden musste.
Dies klappt mit dem Industrial-Router Ewon Cosy+ problemlos.
Nun habe ich aber 5 Anlagen an einem Switch mit 9 unterschiedlichen IP-Netzen. Später sollen noch weitere Anlagen dazu kommen.
Jede Anlage ist mit Passwort und Zertifikat gesichert und ist nicht von außen zugänglich.
Das Ganze Konstrukt ist nur für die nächsten Wochen während der Inbetriebnahme. Dann wird das Ganze erst mal wieder abgebaut, bis die neuen Anlagen installiert werden.
Da es mit dem Ewon Cosy+ so einfach nicht funktioniert suche ich eine alternative Lösung.

Ich habe mal eine Powerpoint Folie gemacht, wie das Ganze in etwa ausschaut.
Diese Folie hat auch der Support und Hersteller des Ewon (HMS) bekommen. Ob die mir eine Lösung anbieten können, weiß ich nicht. Evtl. klappt es halt nicht, dann benötige ich etwas, dass funktioniert.

Warum IPv64 dazwischen schalten?
Meine Idee ist folgende.
Ich und der Router vor Ort sind Peers des Wireguard-Interfaces auf IPv64.
Darüber kann ich dann die VPN-Verbindung ein und ausschalten, ähnlich wie beim Talk2M-Dienst von Ewon (HMS).
Ich hoffe ich habe hierbei keinen Denkfehler.

 

[qiller]

Darüber kann ich dann die VPN-Verbindung ein und ausschalten

Naja, das kannste bei so ziemlich jedem lokalen VPN-Router/-Firewall genauso. Dafür brauchste IPv64 nicht.

 

[DHC]

@qiller
Ja. Man kann das auch direkt machen.
Im kleinen Feldversuch ohne Internet (VPN) dazwischen habe ich das Ganze ja schon getestet.

 

[qiller]

Keep it simple (and) stupid

 

[DHC]

@qiller
KISS ist mir bekannt. Danke für die Info.

 

[DHC]

Ich habe soweit beide Router eingerichtet und im lokalen Netz getestet.
Aktuell habe ich beide Router über LAN-Port 1 mit einem Patch-Kabel verbunden.
Die Routen habe ich auch entsprechend mit der Tunnel-IP angepasst.
Ping und Traceroute liefern positive Ergebnisse. Soweit alles gut.

Nun das ABER.

Man muss im Wireguard-Peer eine Endpunkt-IP-Adresse angegeben. Aktuell lokal zwei beliebige Adressen im selben IP-Netz.
Das heißt man benötigt eine DDNS.
Also ohne externen Dienst wird das dann wohl doch nichts.

Die beiden Router müssen ja wissen, wie sie sich über das Internet gegenseitig erreichen können.

 

[redjack1000]

Das heißt man benötigt eine DDNS.
Also ohne externen Dienst wird das dann wohl doch nichts.

Nicht zwingend, wenn man z.B. feste IP-Adressen nutzt.

Ping und Traceroute liefern positive Ergebnisse. Soweit alles gut.

Der Testaufbau noch so aus ?

Cu
redjack

 

[DHC]

feste IP-Adressen

Habe ich keine.
Die IPs ändern sich alle Nase lang.
Deshalb DDNS.

Der Testaufbau noch so aus ?

Mehr oder weniger.
In dem Beispiel gab es "nur" das Routing zwischen den beiden Routern direkt (Ohne Wireguard).
Nun habe ich noch zusätzlich Wireguard integriert mit den anderen Routen (9 Stück).
Das ist erst mal ein genereller Funktionstest in einem gemeinsamen Netz.
Damit die beiden Router über verschiedene Netze (Festnetz / Mobilfunk / Was auch immer) miteinander kommunizieren können wird eine weitere Instanz (DDNS) benötigt.
Später wird weiter optimiert mit entsprechenden Regeln / Firewall / Etc. Soweit bin ich aber noch nicht.

 

[h00bi]

Kontaktiere doch einfach mal Dennis bezüglich der Umsetzung über seinen Dienst.

Dein Use Case war schon im letzten Thread so abstrakt, dass kaum einer deinen teilweise kryptischen Ausführungen folgen konnte.

Mit Dennis musst du auch nicht pseudonymisieren oder um den heißen Brei reden, schließ einfach ein NDA/AVV mit ihm und besprich das Szenario.

 

[DHC]

Dein Use Case war schon im letzten Thread so abstrakt

Ich habe versucht das Ganze nach Bestem Wissen und Gewissen zu beschreiben. Das hat in dem Fall wohl nicht geklappt.

dass kaum einer deinen teilweise kryptischen Ausführungen folgen konnte

Dann könnte man ja auch einfach mal nachfragen.
Wie schon gesagt. Ich bin kein IT-ler.
Ich kann nur versuchen mit meinen Worten zu beschreiben, was ich erreichen möchte.

Ich war ja in der Zwischenzeit nicht untätig.
Ich habe mir nun ein Konstrukt aus zwei MikroTik-Routern zusammengebaut, dass in der Theorie funktionieren sollte.
Ich habe ja eine Powerpoint-Folie mit hoffentlich allen nötigen Informationen in diesem Thread gepostet.

Ich habe aktuell auf beiden Routern ein Wireguard-Interface mit Wireguard-Peer (Zur Gegenstelle) erstellt.
Die beiden kommunizieren über das Internet miteinander.
Über traceroute kann ich IP-Adressen der definierten Routen verfolgen. Aktuell sind keine Teilnehmer vorhanden, da Versuchsaufbau zu Hause.
Aktuell schicken sich die beiden Router die traceroute-Anfragen gegenseitig hin und her. Weil kein Teilnehmer gefunden wird. Logisch.
Wenn andere IP-Adressen mit traceroute verfolgt werden sollen, gibt es sofort Fehlermeldungen. Was ja im Prinzip korrekt ist.

Also scheint das Ganze erst mal vom Prinzip her zu funktionieren.
Jetzt gibt es halt noch einige Einstellungen, die ich machen muss, um das Ganze auch abzusichern (Regeln / Firewall / Etc.).

Edit:
Das Einbinden eines DDNS auf dem Router war schon eine Krampferei.
Keine der Skripte, die ich da so gefunden habe, hatte funktioniert.
Ich habe da nun etwas zusammengebastelt, was zumindest aktuell funktioniert.
Vor Ort werde ich versuchen DDNS im Mobilfunkrouter unterzubringen. Ich denke da ist DDNS besser aufgehoben.

 

[redjack1000]

Vor Ort werde ich versuchen DDNS im Mobilfunkrouter unterzubringen

Steht dir beim dem Vertrag eine öffentliche erreichbare IP-Adresse zur verfügung?

CU
redjack

 

[DHC]

Steht dir beim dem Vertrag eine öffentliche erreichbare IP-Adresse zur verfügung?

Soweit ich weiß nicht. Edit: Ich meinte es ist keine feste IP vorhanden. Eine öffentlich IP werde ich wohl haben (Hoffe ich). Evtl. auch IPv6. Aber genau wissen tu ich das leider nicht.
Ich habe da keinen teuren Business-Tarif.
Ich habe da einen günstigen Prepaid-Tarif (Telekom) für wenige Euro pro Monat. Das reicht mir.

Wie gesagt konnte ich das Ganze noch nicht vor Ort testen.
Evtl. gibt noch andere Stolpersteine, wie z. B: CG-NAT, etc. Das weiß ich aktuell noch nicht.

Mein DDNS-Update-Skript aktualisiert aktuell leider nur IPv4. Ich habe da noch keine funktionierende Lösung gefunden, um auch IPv6 zu aktualisieren. Das ist noch ein weitere Baustelle, an der ich arbeite.

Die nächste Baustelle, die ich habe ist, ja ich weiß Luxusproblem.
Wireguard müllt mir das Log zu.
Gibt es eine Möglichkeit per Skript und Scheduler zu überprüfen, ob sich die beiden Router finden?
Wenn ja, dann den Peer "enablen", wenn nicht dann entsprechend "disablen", damit das Log nicht vollgemüllt wird.

Edit:
Ich arbeite erst seit kurzer Zeit mit den MikroTik Routern.
Ich tue mich da noch etwas schwer.
Deshalb bitte ich um etwas Nachsicht.

 

[redjack1000]

An welchem Standort steht dir eine öffentliche erreichbare IP-Adresse zur verfügung?

Cu
redjack

 

[DHC]

@redjack1000
Ich werde nicht ganz schlau aus deinen Fragen. Sorry.
Wenn du mit Standort das Land meinst. Wir reden hier von Deutschland.

 

[redjack1000]

Soll ich dir jetzt erklären, dass zum Aufbauen einer Wireguard Verbindung, an min. einem Standort, eine öffentlich erreichbare IP-Adresse vorhanden sein muss?

Cu
redjack