Ich verzweifle an DS Lite & IPv6. Will diverse Geräte von außen erreichen.

[clown4life]

Hallo zusammen,

vorneweg, ich bin leider kein Fachmann in Sachen Netzwerktechnik etc.
Einiges habe ich mir durch lesen angeeignet, anderes durch diverse Videos.
Bin kein absoluter Neuling. Bekomme es also hin, z.B. einen Raspberry Pi mit PI-Hole aufzusetzen und ins Netzwerk einzubinden, so das es auch funktioniert. Muss aber dazu sagen, dass ich was die Konfiguration angeht, auch erst mal testen musste.
Bin bei Vodafone und hab DS Lite. In erster Linie ist IPv6 mein Problem.
Die meisten Videos zeigen die Installationen mit IPv4 und im Verhältnis dazu, gibt es recht wenige gute Videos, wo IPv6 dann auch eine Rolle spielt.
Habe auch zwei Freunde, die in der IT tätig sind, aber grundsätzlich nur mit IPv4 arbeiten und von IPv6 tatsächlich wenig Ahnung haben.
Deren Ratschlag war nur, ich soll mich um eine statische IPv4 beim Anbieter bemühen, dann hätte ich keine Sorgen mehr.
Wenn's mal so leicht wäre. Vodafone macht das leider nicht. Aber das kann ja auch nicht die Lösung sein.
Lange Rede kurzer Sinn... ich will mit IPv6 einfach klar kommen.

Mein erstes Problem ist folgendes:
Habe einen kleinen Proxmox Server, den ich von Außen gerne erreichen würde.
Dazu ist VPN notwendig. Keine Ahnung, ob es da noch andere Wege gibt.
Auf dem Server habe ich Wireguard zwar erfolgreich installiert, aber leider funktioniert das Ganze nicht.
Port 8006 ist freigegeben. Protokol TCP.
Beim Installieren gabs einen Punkt, wo ich entweder die Public IPv4 Adresse oder einen Hostnamen angeben konnte.
Ich habe tatsächlich auch einen Dyndns Anbieter, aber leider klappt das noch nicht so wie ich will aber da bin ich dran. Das wäre also die zweite Baustelle.

Wie auch immer, ich habe also aktuell keine funktionierende VPN Verbindung um auf den Server zu kommen.

Gibt es denn hier eine andere Möglichkeit oder was könnte ich eurer Meinung nach tun (außer mich in Sachen Netzwerktechnik wesentlich schlauer zu machen, was irgendwie auch mein Plan ist in Zukunft), bzw. gibt es überhaupt noch eine andere Möglichkeit von außen auf meinen Server zu kommen?
Myfritz habe ich übrigens eingerichtet und komme darüber zumindest auf meine Fritzbox.


Daten:
Vodafone 1Gbt Leitung DS Lite IPv4 & IPv6 mit eigener Fritzbox 6660 Cable.

Vielleicht könnt ihr mich beim Einstieg unterstützen.

Grüße

 

[gaym0r]

Du hast zwei Möglichkeiten:
1. Die internen Geräte von außerhalb via IPv6 ansprechen, was aber auch nicht immer geht, da man außerhalb des Heimnetzes nicht immer IPv6 zur Verfügung hat, je nachdem wo man ist. (z.B. Mobilfunk, andere Haushalte...)
2. Du nutzt einen Port-Mapper um Geräte via IPv4 to IPv6 NAT zu erreichen. (z.B. https://www.feste-ip.net/dslite-ipv6-portmapper/allgemeine-informationen/)

 

[LadykillerTHG]

möglichkeit 3
Vodafone anrufen und um einen ipv4 port bitten kann auch 2€ im monat kosten, und dann geht auch alles..

 

[Mr. Robot]

Erstens, wenn schon, möchtest du eine öffentliche IPv4 Adresse. Die ist von außen erreichbar. Sie muss aber nicht statisch sein, also immer gleich. Das ist eher für Geschäftskunden gedacht.

Port 8006 ist freigegeben

Bei IPv4 oder IPv6?
IPv4 wird mit DSlite nicht funktionieren.
Bei IPv6 ist es wichtig, die richtige Adresse frei zu geben (jedes Gerät hat mehrere davon). Außerdem muss Wireguard auch entsprechend eingerichtet sein (was ein paar Fallstricke hat).

 

[chrigu]

Für ipv6 brauchst du kein ddns mehr. Die ipv6 Adresse ist direkt dein Router und dein Gerät bei dir Zuhause. Der Router stellt dann quasi wie portforwarding eine direktverbindung.
gehe ich recht in der Annahme, das du eine FritzBox hast? Dann hast du leider Pech. Ipv6 und VPN ist noch nicht möglich. Die einfachste Lösung ist das zubuchen von dualstack. Oder du nutzt ein raspi als VPN Server. Oder du nutzt wireguard mit der Labor Version von avm

 

[gaym0r]

Für ipv6 brauchst du kein ddns mehr. Die ipv6 Adresse ist direkt dein Router und dein Gerät bei dir Zuhause. Der Router stellt dann quasi wie portforwarding eine direktverbindung.

Was hat das eine mit dem anderen zu tun? Die IPv6 Adresse ändert sich ja trotzdem ständig (zumindest bei den mir bekannten Providern)

 

[clown4life]

Danke erst Mal für das Feedback.

möglichkeit 3
Vodafone anrufen und um einen ipv4 port bitten kann auch 2€ im monat kosten, und dann geht auch alles..

So wie ich das verstanden habe, machen die das nicht. Zumindest nicht in BW.
Aber ich werde morgen dennoch mal anrufen und nachfragen.

Oder du nutzt wireguard mit der Labor Version von avm

Das hatte ich tatsächlich vor ein paar Monaten eingerichtet und es hat funktioniert.
Aber nur so lange die IP gleich geblieben ist. Wenn ich mich richtig erinnere, hat sich der Präfix der IPv6 geändert?
Danach ging bei Wireguard nichts mehr. Hatte es für den Urlaub auf allen Geräten installiert.
Nach einer Woche konnte ich keine VPN Verbindung mehr herstellen.
Hab dann auch mal AVM angeschrieben und nachgefragt, wie sich das verhält, wenn sich die der Präfix ändert.
Antowrt von AVM:

Da WireGuard VPN aktuell nur in unserer Laborversion implementiert ist und wir im Rahmen unseres Supports Laborversionen nicht direkt unterstützen können,
liegen mir keine Informationen zu diesem verhalten vor. Wir freuen uns aber das Sie die Laborversion testen und würden Ihren Fall gern wie folgt beschrieben genauer analysieren.

 

[Mr. Robot]

Wir haben Dualstack (nicht DSlite) bei Vodafone Kabel. Und es ist schneller als dein Telekom "Schrott"...
Der Trick ist vermutlich, eine eigne Fritzbox statt die von Vodafone zu benutzen...

 

[niteaholic]

Oder eine FB von VF für 5€/Monat mieten und sich dual Stack freischalten lassen.
Andere Möglichkeit wäre Argotunnel von cloudflare. Somit brauchst du nur noch ein lokalen Reverse Proxy und somit nach außen keine Ports zu öffnen

 

[Raijin]

Wenn der Provider auch auf Nachfrage keine öffentliche IPv4 rausrückt - mit oder ohne Gebühr - bleiben nicht viele Optionen. IPv6-only ist auch im Jahre 2022 leider noch nicht wirklich zuverlässig, weil es zB im Mobilfunk noch zahlreiche Provider und somit Geräte gibt, die keinen Zugang zu IPv6 haben.

Die größte Erfolgschance hat man daher mit einem IPv4-zu-IPv6-Tunnel, wie @gaym0r mit feste-ip.net schon vorgeschlagen hat. Auch jemand mit begrenzten Kenntnissen kann so einen Zugang einrichten. Sowas geht auch in Eigenregie, aber das erfordert ein gewisses Maß an KnowHow und ist daher wenig zu empfehlen. Ähnlich aufwändig wäre ein gemieteter VPN-Server im www, der als zentrale Schnittstelle dient. Beides birgt aber auch gewisse Risiken, weil selbst eingerichtete Lösungen auch in Bezug auf die Sicherheit stets kritisch betrachtet werden müssen. Besser sind daher Dienstleister wie eben feste-ip.net.

Eine weitere Möglichkeit wäre beispielsweise TeamViewer VPN.

 

[clown4life]

So, ich hatte eben ein Gespräch mit Vodafone.
Da ich eine eigene Fritzbox habe, können sie mich nicht umstellen auf IPv4.
Das wäre nur möglich, wenn ich mir von denen eine Fritzbox leihe. Und das für schlappe 5 Euro im Monat.
Das kommt für mich leider gar nicht in Frage.
Es wäre auch zu schön gewesen, wenn es geklappt hätte. Man man man!

 

[Holzkopf]

Wireguard geht auch mit IPv6 da brauchst du nicht unbedingt IPv4.
Nur die Fritzbox mit ihrem eingebauten Wireguard kann das noch nicht, aber wenn du es z.b. auf einem Server installierst funktioniert das ohne Probleme und so hast du das ja auch gemacht wie ich lese ?
P.s. Wireguard nutzt UDP nicht TCP.
Es besteht halt die Möglichkeit das du nicht überall IPv6 Zugang hast.
Im Deutschen Mobilfunk Netz gibts das aber schon überall.

 

[Mr. Robot]

So, ich hatte eben ein Gespräch mit Vodafone.
Da ich eine eigene Fritzbox habe, können sie mich nicht umstellen auf IPv4.

"Auf IPv4 umstellen" ist ja auch nicht ganz richtig. Sondern von von DSlite auf Dualstack.

Aber wie auch immer, ist die Artwort merkwürdig. Wie gesagt, wir haben auch unsere eigene Fritzbox, und trotzdem Dualstack mit einer öffentlichen IPv4 Adresse...

 

[norKoeri]

Das wäre nur möglich, wenn ich mir von denen eine Fritzbox leihe. Und das für schlappe 5 Euro im Monat.
Das kommt für mich leider gar nicht in Frage.

Das dürfte die Vertragsoption „HomeBox Option“ gewesen sein, ehemals „Komfort Option“. Die kannst Du auch mit Deiner eigenen Hardware nutzen. Allerdings solltest Du dazu ein Vodafone Cable (bzw. Vodafone West bzw. Unitymedia BW für Baden-Württemberg) zentriertes Diskussionsforum aufsuchen, z.B. Kabeluser.de. Die können Dir genau die Vertragsoption(en) sagen, damit der Hottie an seinem Bildschirm nur noch klicken muss. Den besten Post dazu – den ich auf die Schnelle fand – war dieser …

 

[Penman]

Da ich eine eigene Fritzbox habe, können sie mich nicht umstellen auf IPv4.

Technisch ist das Blödsinn. Natürlich könnte man Dir DualStack Anbieten. IPv4 sind nur bekanntlich Mangelware. Ich bezweifle, dass deren eigene Fritzboxen irgendeine krude Sonderimplementierung hat, die dafür nötig wäre. Da hat einfach nur jemand fachlich entschieden, dass das nur so möglich ist.

Aber mal zu Deinem Problem:
IPv6 ist in sofern toll, weil Du ohne NAT durch Deinen Router direkt einen Host adressieren kannst. Der (Heim)Router muss den Host "freigeben", ansonsten kommt per ICMP ein "administratively prohibited" zurück.
Der Präfix und das Subnetz (die ersten Blöcke der IP), die der Router zugewiesen bekommt, ändert sich in der Regel bei jedem Reconnect. Der Schnittstellen Identifier (die hinteren Blöcke) können sich je nach Netzwerk Konfiguration ändern oder statisch sein.
Wenn Du die wechselnde IPv6 angehen möchtest, muss Dein Host den DynDNS Client ausführen, damit er mit seiner eigenen IP anfragt (oder irgendwer anders kennt die IP und kann stellvertretend den Eintrag ändern). afraid.org ist kostenlos unterstützt eine IPv6 API. Ich hatte eine Zeit lang einfach ein cURL laufen, der die Adresse immer durch einen Aufruf auf die IPv6 API aktualisiert hatte, wenn der Router ein neues Präfix bekommen hatte.
Wie bereits geschrieben wurde, setzt das voraus, dass Dein Client auch IPv6 spricht, ansonsten ist Dein AAAA DNS Eintrag ziemlich nutzlos.

Wenn Du zusätzlich IPv4 brauchst, landen wir wieder bei dem bisher diskutierten Problem. Sofern Du keine öffentliche erreichbare IPv4 Adresse bekommst, wirst Du um einen Workaround nicht herumkommen, der Dir IPv4 auf IPv6 umsetzt. Ich habe so etwas mal mit einem 1 Euro VServer gelöst, der Anfragen weiterleiten kann. Wenn Du Dir das einfacher machen willst, baust Du diesen VServer zum Knotenpunkt aus und ziehst ein Wireguard VPN mit Deinem Heimnetz und dem VServer hoch. Mit einem HAProxy, SSH Gateway Ports oder was auch immer, kannst Du über den VServer an der IPv4/6 exposen und dann durch das VPN weiterleiten.

Zusammengefasst: IPv6 kann man mit DynDNS lösen, IPv4 Zugriff benötigt extern irgendwo ein Gateway, wenn Du keine eigene, öffentliche IPv4 hast.

 

[clown4life]

Aber wie auch immer, ist die Artwort merkwürdig. Wie gesagt, wir haben auch unsere eigene Fritzbox, und trotzdem Dualstack mit einer öffentlichen IPv4 Adresse...

Vielleicht Willkür. Ich weiß es nicht. Aber genau das war leider die Antwort.

@Penman
Danke für die ausführliche Antwort.
Ich habe leider nur vielleicht 40% davon verstanden
Vielleicht nerve ich Vodafone noch ein zwei mal. Evtl. habe ich ja glück und jemand drückt dann das richtige Knöpfchen. Damit würde mir viel Ärger und Arbeit erspart bleiben.
Ansonsten gehe ich mit deinem Text zu einem, der es versteht. Vielleicht bekomme ich dann eine brauchbare Lösung für daheim.
So wie es aktuell ist, macht es mir auf jeden Fall keinen spaß, Sachen zu konfigurieren.

 

[norKoeri]

Aber genau das war leider die Antwort.

Einige können nicht alles buchen (bzw. den Computer vor sich nicht bedienen). Einfach nochmal anrufen und vorher Absicherung über ein Vodafone-zentriertes Forum (aber nicht deren Community).

 

[bender_]

Absicherung über ein Vodafone-zentriertes Forum (aber nicht deren Community).

So ein Blödsinn. Wie soll man sich ggü. Vodafone in einem inoffiziellen Forum absichern?
Kulanz bleibt Kulanz. Ende der Geschichte.
Lernt eure Verträge zu lesen und zu verstehen. Irgendein inoffizielles Forum hilft nicht dabei, wenn man mit seinem Vertragspartner Vertragsinhalte verhandeln möchte.

 

[Penman]

Ich habe leider nur vielleicht 40% davon verstanden

Also in kurz und einfach:

• Reicht Dir IPv6, erlaubst Du den Zugriff von außen direkt auf die IPv6, die der Host selbst hat. Also zum Beispiel ein NAS ist über seine eigene IPv6 Adresse dann aus dem Internet erreichbar. Dazu muss diese aber bekannt sein, da diese sich aus der vom Provider zugewiesenen Adresse ergibt.
• Willst Du IPv4 nutzen, kannst Du versuchen eine eigene öffentliche IPv4 Adresse zu bekommen und ganz traditionell mit Port Forwarding arbeiten
• Alternativ gönnst Du Dir einen billigen VServer (soll es sogar bei Oracle gratis geben), der nichts anderes tut, als eine statische IP zu haben und als bekannter Knoten für den Zugriff aus dem Internet und aus dem Heimnetz zu agieren und als Proxy zu arbeiten. Die Clients kennen die Adresse des Servers und du schaltet den Faktor dynamische IP effektiv aus. Benötigt aber mehr Aufwand (User anlegen, Keys verteilen, Automatischen Reconnect basteln). Durchaus eine kleine Hackerlösung.

 

[Avenger84]

ich nutze Zuhause und in der Arbeit einen RPi mit Wireguard.
Eine Seite hat nur IPv6, das klappt wunderbar vom Mobilfunk aus, selbst von Mallorca aus.

Wo es nicht klappt ist in Hotel Wlan - da diese zu 99% keine IPv6 können.

An der Stelle vom TE würde ich erst mal Wireguard auf dem RPi installieren. Habe bei Bedarf Anleitungen und Tipps.