SSH / VPN mit DS-Lite-Tunnel?

Ray Donovan

Banned
Registriert
Apr. 2013
Beiträge
750
Hi,

ich versuche gerade an einem anderen Ort einen VPN einzurichten (Raspberry Pi mit DietP und PiVPN/Wireguard). Dort kommt eine FRITZ!Box 7530 AX mit 1&1 zum Einsatz.

Leider hat man bei 1&1 einen DS-Lite-Tunnel und daher - wenn ich das richtig verstanden habe - eine shared IPv4-Adresse, mit der ich lokal trotz Port-Freigabe die Geräte nicht ansteuern kann. Das funktioniert auch nicht.

Zuhause habe ich eine FRITZ!Box 6660 Cable mit Vodafone und erhalte sowohl eine native IPv4 als auch eine native IPv6 (Kabelanschluss). Korrekt?

Also wollte ich das ganze nun mit IPv6 aufsetzen und habe zum Testen einen SSH-Server installiert. Lokal komme ich drauf, von außen mit IPv6-Adresse allerdings nicht. Obwohl der Port freigegeben ist.

Kann es sein, dass IPv6 auch shared ist, oder blicke ich wieder was nicht?
Wenn ich per SSH nicht draufkomme, wird der VPN natürlich auch nicht funktionieren.
 
Welche IPv6 nutzt du? Bei IPv6 hat jedes Gerät seine eigene Adresse. Du musst dich also zu der IPv6 Adresse des Raspberry verbinden, nicht die der 7530.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: Raijin, Der Lord, up.whatever und 2 andere
und die mit 20xx: prefix verwenden, nicht fd oder fe. ip address befehl auf dem pi sollte die adressen anzeigen .
 
Nilson schrieb:
Welche IPv6 nutzt du? Bei IPv6 hat jedes Gerät seine eigene Adresse. Du musst sich also zu der IPv6 Adresse des Raspberry verbinden, nicht die der 7530.
Danke, dat isset!
Ich war noch zu sehr auf IPv4 fokusiert. Ich hatte immer die IPv6 von der Fritte genommen.

Wenn ich die bei der Freigabe erhaltene IPv6 erhalte geht es.
DANKE <3
 
  • Gefällt mir
Reaktionen: grünerbert, Raijin und Nilson
Ray Donovan schrieb:
Danke, dat isset!
Vielleicht eine doofe Frage, aber für mich klingt das so, als ob es keinen weiteren Firewallschutz geben würde und Deine Kiste(n) alle über IPv6 im Netz verfügbar sind.

Ist vielleicht nichts. Aber prüf das sicherheitshalber mal ab und kümmer dich ggfs. um eine Brandwand im Sechserformat.
 
Die Firewall der Fritzbox ist ja weiterhin aktiv. Damit:
Ray Donovan schrieb:
Obwohl der Port freigegeben ist.
hat er den Port für den einen Rechner in der Firewall freigegeben.
Das ist der gleiche Menüpunkt wie die Portweiterleitung für IPv4, daher sind die Begrifflichkeiten da etwas schwammig in der Fritzbox-Oberfläche.
Screenshot 2022-04-22 193914.png
 
  • Gefällt mir
Reaktionen: Ray Donovan und Web-Schecki
Wenn ich den Thread reaktivieren darf:

Erste Frage:
Ich habe das Problem, dass die IPv6 auch täglich wechselt und daher natürlich auch die IPv6 der Freigabe (VPN).
Bisher habe ich das immer mit dynv6.com als DDNS in der Fritzbox eingerichtet. Ich brauche ja aber die IPv6 des VPNs. Wie bekomme ich die elegent immer aktualisiert? Stehe da etwas auf dem Schlauch? Oder blicke ich wieder etwas nicht?

Zweite Frage:
Wenn ich einen DS Lite Tunnel auch IPv4 fit machen möchte, wie stelle ich das an? Ich sehe finde immer nur, dass man sich einen vServer mieten muss und die Pakete umleitet (IPv4 zum Server, der wandelt es dann in IPv6 um und sendet es dann das Ziel?). Wie mache ich das? Gibt es noch andere Methoden?

Danke!
 
Zuletzt bearbeitet:
Zur ersten Frage:
Du kannst/musst auf dem Raspberry einen DynDNS-Dienst nutzen -z.B. ddclient - der die IPv6 bei deinem DynDNS-Anbieter hinterlegt.
Ändert sich bei dir der Network- oder Interface-Identifier der Adresse?

Zur zweiten Frage:
Was ist dein Ziel? Wenn du per IPv6 eine Verbindung herstellen kannst, warum dann trotzdem noch IPv4?
 
Nilson schrieb:
Zur ersten Frage:
Du kannst/musst auf dem Raspberry einen DynDNS-Dienst nutzen -z.B. ddclient - der die IPv6 bei deinem DynDNS-Anbieter hinterlegt.
Ändert sich bei dir der Network- oder Interface-Identifier der Adresse?
Ah! ddclient-Schnittstelle bietet auch dynv6.com an. Sehr gut!
Das beißt sich auch nicht mit AdGuard Home / Unbound / PiVPN?


Jau, ddclient lässt sich problemlos auf dem DietPi installieren und in Betrieb nehmen. Funktioniert mit dynv6.com hervorragend. Danke!

Nilson schrieb:
Zur zweiten Frage:
Was ist dein Ziel? Wenn du per IPv6 eine Verbindung herstellen kannst, warum dann trotzdem noch IPv4?
Weil es leider Leute gibt, die kein IPv6 aktivieren wollen, oder nicht können (mobile Tarife).
Mir ist schon klar, dass IPv6 die Zukunft ist, weil man ja immer mehr Menschen und vor allem Geräte ans Netz bringt.
 
Zuletzt bearbeitet:
Nilson schrieb:
Ändert sich bei dir der Network- oder Interface-Identifier der Adresse?
Guten Morgen.

Sorry, was genau meinst du damit?
Ob sich die ganze IPv6 ändert oder nur ein Teil? Nur ein Teil. Oder meinst du was anderes?
 
Warum kein argotunnel via cloudflare? So sparst du dir die port freigabe und die wechselnde IP ist auch egal.
 
Ray Donovan schrieb:
Sorry, was genau meinst du damit?
Ob sich die ganze IPv6 ändert oder nur ein Teil? Nur ein Teil. Oder meinst du was anderes?
Nilson möchte vermutlich darauf hinaus, dass (in der Regel) jedes Gerät (mindestens) zwei IPv6 Adressen hat. Eine davon ändert sich aus Privacy Gründen mit Absicht regelmäßig.
Für Serverdienste musst du die andere nehmen. Die sollte recht lange gleich bleiben.
 
Mr. Robot schrieb:
Nilson möchte vermutlich darauf hinaus, dass (in der Regel) jedes Gerät (mindestens) zwei IPv6 Adressen hat. Eine davon ändert sich aus Privacy Gründen mit Absicht regelmäßig.
Für Serverdienste musst du die andere nehmen. Die sollte recht lange gleich bleiben.
Magst du mir verraten, wo ich die finde?
Wenn ich in die Freigaben reingehe, sehe ich nur eine IPv6. Bzw. in der Übersicht eine kurze IPv6, die aber ganz anders aussieht (vermutlich nen Prefix?).

Ich komme da auch zu einem weiteren Problem (was vielleicht damit zusammenhängt?):

AdGuard Home + Unbound. D.h in Adguard Home ist Unbound als DNS-Server drin und in der Fritte AdGuard Home - sowohl lokale IPv4 als auch die IPv6 der Freigabe. Diese ändert sich ja (ddclient aktualisiert das korrekt, als doe Dyn-Domain), aber in der Fritte ist dann noch die alte IPv6. Sobald das passiert geht natürlich kein Internet mehr (weil DS Tunnel Lite und nur eine native IPv6). Ich kann da bei IPv6 nicht den DynDNS-Namen einsetzen - es muss IPv6 sein. Wie kann ich hier Abhilfe schaffen? Ich habe den o.g Prefix eingetragen, das geht leider auch nicht.
 
In der Fritte nimmst du die fe oder fd adresse vom adguard als DNS.
 
  • Gefällt mir
Reaktionen: Ray Donovan
Ray Donovan schrieb:
Magst du mir verraten, wo ich die finde?
Der Network-Identifier ist der erste Teil der Adresse, der Interface-Identifier die Zweite.
Capture.PNG

Auf den Prefix hast du keinen Einfluss, wenn sich aber Interface-Identifier ändert, kannst du den über passende Einstellungen festlegen.
 
@atze303 Also ist es so nun korrekt? (Bitte schaue dir die Bilder an).

@Nilson Ich verstehe das dann so: Der orangene Teil (Präfix) kommt vom Provider und kann sich jederzeit ändern, während der Interface-Identifier gleich bleibt. Habe ich das richtig verstranden? Dann habe ich ja jetzt alles korrekt eingestellt, oder?

DANKE!
 

Anhänge

  • dns.jpg
    dns.jpg
    84,3 KB · Aufrufe: 188
  • freigabe.jpg
    freigabe.jpg
    34 KB · Aufrufe: 187
Bei den DNS Server für IP6 Server bin nicht sicher ob das so geht, denke du hast die Info von der Fritzbox,.Netzwerk, Gerät und hier die IP6 Adressen. Du sollest das verweden was unter IP6 adressen steht und nicht unter IPv6 Interface - ID.

Also eher:

fe80::225e:deff:fe50:1111 oder
2000:a9:1115:1100:225e:deff:fe50:1111

Anstelle
::225e:deff:fe50:1111

Es sollte eigentlich mit der fe80: adresses funknioerien, das ist link local und verlässt nicht den Router.
Der Päfix von der 2000: wird sich ändern, die fe80 Adresse nicht.


Das ende der Pesistanmt IPs wird meist über die MAC generiert.
 
  • Gefällt mir
Reaktionen: Ray Donovan und Web-Schecki
Zurück
Oben