Wireguard Verbindung läuft über IPv4 obwohl eigentlich nicht möglich

[Avenger84]

Hallo,
ich habe heute von DSL auf d. Glasfaser umgestellt.
Bei DSL hatten wir eine feste IPv4 - kein IPv6 (nur über 6to4 Tunnel).

d. Glasfaser hat m.W. nach nur IPv6 und eine geteilte IPv4.

Wireguard ist dauerhaft verbunden von RPi A <-> RPi B.
In A steht als Endpoint die feste IPv4 des alten DSL Anschlusses drin. (nein kein DynDNS Dienst!)
Im anderen RPi B gibt es keinen Endpoint (logisch).

Ich war mir zu 100% sicher dass Wireguard nicht mehr geht, bis ich die IPv6 eingetragen habe im "A".
Nö geht trotzdem einwandfrei.

Also nach dem Endpoint geschaut der mir in "A" angezeigt wird:
94.31.xx.xx
diese wird mir auch bei "was ist meine IP" angezeigt bei den Geräten im Netz der d. Glasfaser.

Kann mir Jemand sagen was das für eine IP ist und wie um alles in der Welt sich Wireguard verbinden kann über IPv4, obwohl es die Adresse gar nicht kennen kann.

In der FritzBox (d. Glasfaser) steht:
verbunden seit 25.03.2021, 17:24 Uhr, Deutsche Glasfaser,
IPv4-Adresse: 100.120.52.xx

Also eine völlig andere IP als 94.31.xx.xx.

Werde Wireguard trotzdem auf IPv6 umstellen, interessieren würde es mich trotzdem warum es noch funktioniert.

 

[0x8100]

die 94.31.x.x ist das nat-gateway von DG und damit die öffetnliche ip, die dein gegenüber von dir sieht.

 

[Avenger84]

Danke, so eine Grafik habe ich gesucht 👍

ist mir dennoch ein Rätsel wieso eine IPv4 VPN Verbindung klappt. (man sieht es ja schön an den STOP Zeichen)

 

[Christian1297]

Man kann trotz CGNAT und dual stack lite eine VPN Verbindung über IPv4 herstellen wenn die Verbindung vom Gerät am Glasfaseranschluss initiiert wird.

 

[chrigu]

Richtig, von cgn nach aussen, kannst du alles verbinden, von aussen zu dir geht es nicht.

 

[Avenger84]

wie auch immer er sich von der Telekom Seite aus (ohne Endpoint in der Konfig) verbunden hat... bleibt wohl ein Rätsel oder eine neue Implementierung in Wireguard.

Nächste Frage:
Habe von der Telekom Seite aus den Endpoint per IPv6 eingetragen, läuft sofort, aber die Geschwindigkeit ist mies, 5-7MB/s.

Habe dann den Endpoint deaktiviert und im DG Netz (500Mbit Upload) den IPv4 Endpoint vom Telekom Netz eingetragen -> 39MB/s (>300Mbit/s) bis der RPi >65°C CPU erreicht - dann geht er bissel runter. Muss noch einen CPU Lüfter einbauen.

Warum nur ist die Verbindung über IPv6 so lahm.

Speedtests IPv6 gehen bis zu 500MBit im Upload hoch.

Gibts hier noch Jemanden der Wireguard IPv6 nutzt ?

 

[Avenger84]

Muss an Wireguard liegen.

Habe es gegen getestet über einen offenen FTP Server sowohl per IPv4 als auch IPv6, beide schaffen volle Geschwindigkeit (400-500MBit).

 

[brainDotExe]

Für einen verlässlichen Test müsstest du natürlich die selbe IPv6 Adresse mit z.b. iperf prüfen. Es kann sein, dass bei IPv4 und IPv6 unterschiedliche Peerings genutzt werden.

 

[Avenger84]

komm ich gerade nicht mit, kannst du das erklären ?

 

[Avenger84]

P.S. gerade noch mal die Win10 Iso verschoben über die beiden RPi4 mit IPv4 Wireguard Tunnel: volle Geschwindigkeit 👍

der Knick kommt weil ich mich eingeloggt hatte um nach Last & Temperatur zu schauen.

 

[Avenger84]

Lösung für das IPv6 Problem war die MTU.
Die ist bei Wireguard default = 1420.

Für IPv6 muss man diese anpassen:

https://baturin.org/tools/encapcalc/

dann rennt es auch per IPv6 👍

[Interface]
Address = 192.168.99.1/24, fd08::1/64
ListenPort = 51820
PrivateKey = u12345678910111213141516ziakn=
MTU = 1412

 

[PizziM]

Hallo zusammen,
ich möchte diesen Thread bitte nochmal hoch holen.

Mein Vorhaben ist sehr ähnlich.
Ich habe zwei Orte A und B (A hat Deutsche Glasfaser) und (B hat nen klassischen 1&1 VDSL Anschluss)

An Ort B befinde ich mich. Ich möchte auf alle Geräte im Netz von Ort A zugreifen können.
Einen WireGuard Server habe ich bereits laufen bei mir im Netz, mit dem ich mich bei Bedarf verbinden kann von außen.Klappt super! Schnell und zuverlässig.

Nun habe ich nach der Lektüre einiger Postings gesehen, dass der Verbindungsaufbau von Ort A erfolgen muss, damit es klappt.

Habe ich es richtig verstanden, dass ich dann von mir aus (Ort B) auf alle Ressourcen im Netz bei Ort A zugreifen kann? Zum Beispiel NAS, Drucker,...jeweils IPv4 basierend?

Evtl. könnt Ihr mir nochmal helfen bitte?

PizziM

 

[chrigu]

ja. sofern die verbindung nur über vpn geht und dein netzwerk ein anderes subnetz hat, kannst von von B (server) nach A (server) verbinden. andersrum wird nicht klappen da cgn/ds-lite

 

[PizziM]

Damit ist es also nicht relevant, von wo der Tunnel aufgebaut wird? So lange er steht, sind die Ressourcen wechselseitig verfügbar.

Richtig verstanden ?

 

[chrigu]

falsch... wenn ds-lite/cgn geschaltet ist, kommst du nicht rein, aber raus.
a ist glasfaser... wahrscheinlich beginnt die wan ip mit 100. und bei wieistmeineip.de steht nicht dieselbe ip
b ist vdsl, wahrscheinlich wan ip und wieisitmeineip.de identisch, also dualstack, dort kannst du von a auf b verbinden. b nach a geht mit ipv4 nicht.

 

[PizziM]

Ja, aber mit ipV6 geht es schon.
Nun...ich werde voraussichtlich am Mittwoch ein bisschen testen können. Habe aber nur zwei GliNet Router.
Dann kann ich berichten. Alternativ habe ich mir auch bei Netcup einen VPS geholt. Guggn wir mal...