PYUR CGNAT und OpenWrt

[Snakeeater]

Thema kam hier schon öfter auf, leider ist mir nicht klar ob es nun lösbar ist oder nicht. Anruf beim Service hat mir verklickert das es wohl keine Option auf Public IPv4 gibt bei Glasfaser. Jetzt bin ich mir nicht sicher ob ich nur eine Public Ipv6 vom ISP zugewiesen bekomme oder ein gesamtes Prefix. Im OpenWRT seh ich beide Sachen unter Network - Interfaces - wan6, also sowohl Ipv6 .../128 als auch IPv6-PD: /56

Der Sinn dahinter wäre das ich meine Switch 2 die mit meinem Router verbunden ist nur ein NAT C bekomme beim Internettest. Und auch scheint es nicht möglich für mich ein Spiel zu hosten damit Freunde mit übers Internet joinen können. Wenn ich meine Public IPv6 irgendwie die Ports auf eine interne IPv6 weiterleiten könnte....?

Oder habe ich hier absolut keine Möglichkeit das CGNAT zu umgehen?

 

[DLMttH]

Du weißt, dass sich das CG-NAT nur auf das IPv4-Protokoll bezieht? Also umgehen kannst du das nicht.

Dein IPv6-Prefix besteht aber aus öffentlich erreichbaren Adressen, dort arbeitest du mit Portfreischaltungen in der Firewall. Die öffentliche IPv6 am WAN-Interface spielt da keine Rolle und es wird nichts weitergeleitet/übersetzt wie bei IPv4.

Verstehen die Anwendungen, die du nutzen möchtest, IPv6?

 

[Snakeeater]

Soweit ich weiß schon. Also die Switch 2 an sich zumindest, vom Spiel direkt habe ich keine Info gefunden. Warum meine öffentliche Ipv6 keine Rolle spielt ist mir aber nicht ganz klar. Da ich mit genau der Adresse nix anfangen kann, aber nur mit dem Prefix? Ich hab wenig Erfahrung mit IPv6 leider.

 

[DLMttH]

Die IPv6 "gehört" dem Router und fungiert als Gateway. Das Präfix wird genutzt, um öffentlich erreichbare IPv6-Adressen für deine Heimnetzgeräte zu erzeugen (GUA). Für diese GUA wird der Port in der Firewall geöffnet. Schau in die IP-Informationen deiner Heimnetzgeräte, du wirst sehen, dass eine der IPv6-Adressen mit dem Prefix beginnt, den dein Provider dir zuweist.

 

[Snakeeater]

Ganz schön kryptisch. Laut DHCP Leases hat mein br-lan interface eine IPv6 sonst nix. Es scheitert bei mir schon daran das ich es nicht hinbekomme eine IPv6 an meine Switch 2 zu tackern. Ich bekomm in dem Static Lease GUI nur ein IPv6 Token zur Auswahl, was auch immer das sein soll.

Evtl. ist mein OpenWRT auch nicht optimal für IPv6 eingestelltg, habe v6 bisher eigentlich immer umgangen.

 

[Darkman.X]

Ich denke, dass du NAT Typ A nie erreichen wirst, wegen fehlender eingehender IPv4-Erreichbarkeit (CGNAT).

NAT Typ B ist vielleicht erreichbar. Die Frage ist, ob die Switch per UPnP/IGD selber Ports im Router öffnen kann/darf? Wenn du im Router UPnP deaktiviert / die Switch dafür gesperrt hast, dann musst du die Portfreigaben selber im Router vornehmen. Laut Google-Suchergebnisse sprechen einige von UDP mit Port 1024–65535 (also die komplette Range), andere von 45000-65535.
Aber du könntest auch testweise die Switch ganz plump in die DMZ stellen / als "Exposed Host" konfigurieren und dann nochmal den NAT-Typ prüfen, schauen ob er sich überhaupt verbessert. Danach aber wieder aus der DMZ entfernen.

IPv6 würde ich einfach auf "automatisch" (SLAAC) laufen lassen. Warum willst du eine IPv6-Adresse an die Switch tackern? Bzw. was meinst du damit genau? Meinst du damit eine feste IPv6-Adresse zu vergeben, ähnlich wie bei IPv4 mit 192.168.x.x oder 10.x.x.x?

Zu OpenWRT kann ich nichts sagen, ich bin Fritzbox-Nutzer, deren IPv6-Konfiguration ziemlich anfängerfreundlich ist.

 

[Snakeeater]

Wie gesagt für mich ist IPv6 Neuland, aber wie soll ich Portfreigaben machen bei einer öffentlichen IPv6? Nach meinem Verständnis müsste ich doch dafür irgendwie der Switch ihre feste öffentliche IPv6 zuweisen? Und dann irgendwie eine Art Portfreigabe/Traffic Regel über die vergebene IPv6 der Switch?

https://openwrt.org/docs/guide-user/base-system/dhcp_configuration#static_leases
https://openwrt.org/docs/guide-user...s/fw3_ipv6_examples#dynamic_prefix_forwarding

Ich vermute die beiden Dinge muss ich irgendwie umsetzen, habe bisher nur mit Luci gearbeitet, evtl. muss ich auf SSH umschwenken.

 

[Darkman.X]

Warum kommst du wieder mit DHCP an? Ich sagte doch, lasse es einfach im automatischen Modus laufen, OpenWRT wird doch sicherlich auch solch eine Modus haben?! Vielleicht heißt es dort SLAAC- oder "Stateless Address Autoconfiguration"-Modus. Ich habe keine Lust danach zu googeln.
EDIT: Ich ging bisher immer von der Router-Oberfläche von OpenWRT aus. Wenn du das Ganze eher per SSH machen willst....ok, dann viel Glück. Warum direkt so einen hohen Schwierigkeitsgrad nehmen?

In diesem Modus sollte der Router normalerweise den vom ISP erhaltenen Präfix per DHCPv6 und/oder Router Advertisement (RA) an alle Endgeräte melden und diese generieren per SLAAC (Stateless Address Autoconfiguration) ihre eigene Internet-fähige IPv6-Adresse. Da muss man nichts händisch einem Gerät zuweisen.
So ist es zumindest bei Fritzboxen.

Danach brauchst du nur noch die IPv6-Adresse aus dem Systemmenü der Switch 2 auslesen:

(Screenshot von HardwareLuxx geklaut)

Der Screenshot deutet zwei IPv6-Adressen an. Da muss man schauen, was genau angezeigt wird. Die Adresse(n) mit fe80:: oder fd??:: beginnend sind unbrauchbar. Internet-fähige Präfixe beginnen, glaube ich, immer mit 2??? (z.B. 2a02).
Falls zwei 2???-Adressen angezeigt werden, dann wird es einen kleinen Tick komplizierter, dazu vielleicht später mehr, wenn du erstmal diesen Punkt erreicht hast.

Und mit dieser Adresse kannst du dann eine IPv6-Portfreigabe im Router einrichten.
Hier kann ich wieder nur von Fritzboxen berichten: Die arbeitet bei IPv6-Portfreigaben ausschließlich mit der Interface-ID (den hinteren 64 Bit der IPv6-Adresse), den Präfix kennt der Router ja selber.
Außerdem ändert sich der Präfix je nach ISP irgendwo zwischen alle 24 Std. und 180 Tage. Wenn man den Präfix bei der Portfreigabe mit angeben müsste, dann müsste man die Portfreigabe ja auch alle 24 Std. bis 180 Tage erneut anpassen.

Ich will es nochmal erwähnen: SLAAC ist der unkompliziertere Weg. Du kannst natürlich auch mit DHCPv6 und "Stateful Address Configuration" arbeiten, was deine erwähnten "feste IPv6-Adressen" wären. Aber wenn man kaum/keine Ahnung von IPv6 hat, warum sich das Leben direkt zu Beginn unnötig schwer machen?

 

[Snakeeater]

Kurz gesagt, warum muss ich im Switch 2 Menü die IPv6 auslesen, dass muss doch im Router irgendwo hinterlegt sein, genau deswegen habe ich Statische Leases angesprochen. Ich glaube SLAAC ist bereits eingestellt auf dem OpenWrt Router.

Dann müsste ich deiner Meinung nach ja nur die Traffic Rule richtig einstellen und dafür das Präfix bzw. die Adresse richtig identifizeren. Und dann noch im richtigen Format als Ziel für die Regeln eintragen.

 

[Darkman.X]

dass muss doch im Router irgendwo hinterlegt sein

Das sollte natürlich auch gehen.

Auch hier wieder nur meine Fritzbox-Erfahrung (sorry ): Sie zeigt in der Konfigurationsoberfläche auch die IPv6-Adressen, zumindest die temporäre IPv6-Adresse von meinem Windows-PC, was aber wegen der Privacy-Extension nicht sinnvoll nutzbar ist.

(Ich hatte bis zu deiner Antwort noch viel an meinem Text herum editiert. Aktualisiere sicherheitshalber die Seite mit dem Thread.)

 

[redjack1000]

dass muss doch im Router irgendwo hinterlegt sein

Wie ist denn DHCPv6 in deinem Router konfiguriert?

Cu
redjack