VPN von IPv4 zu IPv6

[hildefeuer]

"Deutsche Glasfaser ist Dualstack. Ist halt die Einschränkung, dass die IPv4 in einem Carrier-grade NAT ist. D.h. du hast eine DG-interne und eine externe IPv4. Alle Kunden innerhalb das Glasfasernetzes können sich auch per IPv4 problemlos ansprechen. Nur von außen geht's halt nicht über IPv4."
ja eben das ist die Argumentation dieses Providers. Eine Wortspielerei, das dann die Verträge erfüllt.
Eben weil der Kunde nicht weiter nachgefragt hat. Bestellt ist Dual Stack und geliefert wird eingeschränkter Zugang bezg. der öffentlichen ipv4, die nicht von außen zugänglich ist.
All dies wird gemacht, weil es Geld kostet genügend öffentliche ipv4 für Kunden vorzuhalten.

Das liegt auch an konservativer Konfig bei vielen Providern und WLANs, wo die Hardware und Software dies kann, aber nicht korrekt konfiguriert wurde.
Nicht mal die Telekom Hotspots haben ipv6 Anbindung.
Viele Radius Server in Hotels gleiches Spiel. Die stammen meist aus der Zeit, wo alles über http lief. Daran merkt man es sofort, wenn die nicht per https verbinden können beim ersten Aufruf.

 

[keinFischBitte]

@herrybert
Schritt 1: Feststellen, ob die Anschlüsse öffentliche IPv4 oder IPv6 Adressen haben. Das muss einmal 100% sicher sein, wie die Lage da ist. Ich habe gerade keine Seite so schnell aber mit etwas googlen wirst du schnell eine Anleitung finden, um das zu untersuchen.
edit: Befinde dich in dem Netz, was du untersuchen willst. Öffne www.wieistmeineip.de. Öffne die FritzBox und gehe zu Internet->Online-Monitor->Verbindungsdetails. Gleiche dann IPv4 an beiden Stellen ab, um festzustellen, ob du eine öffentliche IPv4 Adresse hast. Gleiche dann "IPv6-Präfix" mit der IPv6 aus wieistmeineip ab und schaue, ob "IPv6-Präfix" am Anfang der IPv6 stehen, die dir von der Webeite angezeigt wird.

Schritt 2: Folgt, wenn das fest steht und wir leiten dich da durch. Eigentlich musst du nur die Anleitung von Fritz durcharbeiten. Schritt für Schritt ohne weitere Gedanken irgendwo haben zu müssen.
https://fritz.com/apps/service/vpn-...zwischen-zwei-FRITZ-Box-Netzwerken-einrichten

Du brauchst nicht die Oberfläche der Fritzboxen von außen sichtbar machen. Das ist nicht nötig für das site-to-site Wireguard Setup.

Im Screenshot siehst du, wie die Einstellungen für MyFritz bei mir sind.

 

[Pummeluff]

Das wird jetzt von meiner Seite aus etwas widersprüchlich. In der Praxis ist's aber einfach so.

Eben weil der Kunde nicht weiter nachgefragt hat. Bestellt ist Dual Stack und geliefert wird eingeschränkter Zugang bezg. der öffentlichen ipv4, die nicht von außen zugänglich ist.

"Eigentlich" ist IPv6 wesentlich besser für das ganze Thema geeignet. Damit kannst du jedes Gerät im Heimnetz ansprechen von außen, anstatt sich Gedanken zu machen, auf welchen Port man einen Service legt, wenn mehrere Geräte im LAN auf demselben Port erreichbar sein sollen (z.B. SSH, HTTPS). Anstatt ein Portforwarding öffnest du halt bei IPv6 die FW für die IP und den Port.

Das liegt auch an konservativer Konfig bei vielen Providern und WLANs, wo die Hardware und Software dies kann, aber nicht korrekt konfiguriert wurde.
Nicht mal die Telekom Hotspots haben ipv6 Anbindung.

Wozu auch? IPv6 im LAN zu konfigurieren ist mühsam und umständlich. Meine Clients zu Hause bekommen eine GUA per SLAAC. DNSv6 und DHCPv6 hab ich nicht eingerichtet, sind auf dem Router sogar deaktiviert. IPv4 kann man wesentlich besser im LAN semantisch zuordnen.

In großen Firmennetzwerken (bei meinem AG auch) müsstest du das gesamte Netz doppelt konzipieren und vor allem auch absichern. Den doppelten Aufwand dürften sich die wenigsten Unternehmen geben. Entsprechend wird IPv6 nur für die von außen erreichbaren Systeme (Webserver) konfiguriert.

Zusätzlich können viele IoT-Geräte überhaupt nicht mit IPv6 umgehen. Ich denke mich zu erinnern, mein AVR und mein TV haben auch keine Eingabemaske für IPv6. Ein IPv6-only LAN dürfte in fast allen Haushalten nicht vollständig funktionieren.

 

[hildefeuer]

Nein, in Heimnetzen braucht man da gar nix konfigurieren. Mit soeedports und frizen reicht der Auto konfig vom Provider.
Man darf halt ipv6 nicht nachträglich abschalten. Dann erhalten alle clients sowohl ipv4 und ipv6.
Schönes negativ Beispiel speedport3. Normale clients im heimnetz erhalten ips4 und ipv6. Im Gastnetz Telekom Hotspot nur ipv4 only. Somit kein VPN zu DG möglich.

 

[herrybert]

Danke euch allen für eure Hilfe! Dank des Hinweises dass DG eine nicht öffentliche IPv4 hat gings dann!

1) Ich musste als erstes bei der FB-5530 im IPv4 6to4 als Tunnel aktivieren (sonst kann ich aus der Ferne nicht auf die FB-5590 mit IPv6 zugreifen).
2) Dann habe ich von der 5530 aus ein Wireguard File erzeugt und in die 5590 eingespielt. Die Verbindung kann nun aufgebaut werden. Wenn ich jetzt aber den ganzen IPv4 Verkehr der 5530 über die 5590 laufen lassen will geht das sehr sehr langsam!
3) Als letzten Schritt dann den 6to4 Tunnel wieder ausgeschalten und jetzt geht alles schnell! Ich habe bei beiden Anschlüssen 100/100 Geschwindigkeit. Mit dem VPN komme ich noch auf ca. 80 in beide Richtungen!

 

[keinFischBitte]

Du hast es etwas komplizierter gemacht, als es sein muss, aber es scheint ja ein gutes Ende gefunden zu haben! 👍
Ich finde die Anleitung von Fritz und das Menu der FritzBox für Wireguard ziemlich einfach - kann das, was ein Otto-Normalverbraucher braucht, jedoch nicht viel mehr.