LTE IP-Adresse, nicht ident mit public IP-Adresse, DDNS möglich?

[jumbo125]

Hallo liebes Forum

nach ewigen lesen und ausprobieren bin ich nun endlich soweit, dass ich weiß. weshlb der vpn tunnel einfach nicht funktionieren will....

Kurz zu meinem Prozedere:
über dynudns habe ich eine DDNS-Domain erhalten. Diese wird mittels HTTP-API alle 2minuten "geupdatet". Das funktioniert alles, zumindest dachte ich das.
wenn ich auf https://whatismyipaddress.com/de/meine-ip meine akutelle ipv4 und ipv6 auslese, passt das mit der DDNS-domain zuweisung zusmmen.
Trotzdem konnte ich nicht die domain erreichen. Nun habe ich nochmals unzählige TP-Link ableitungen durchforstet, da ich einen MR 600 Router habe.
Mir ist aufgefallen, dass bei allen anleitungen, AM ROUTER, in der Rubrik WAN adresse (public IP) die korrekte IP angezeigt wird.
Bei mir aber nicht. Es wird eine private IP Adresse mit 10.x angezeigt. das darf doch gar nicht sein, bei einer öffentlichen Adresse.
Nun weiß ich was schuld ist:
Diese LTE Adresse ist eindeutig eine NAT Adresse in einem Mobilfunk Transfernetz.

Laut anderen websiten hier eine Erklärung dafür:
"Dein Provider wird für IPv4 Carrier-grade NAT verwenden um IPv4 Adressen einzusparen. Du hast ausschließlich eine öffentliche IPv6 Adresse."

Nun die Frage, wie kann ich dies nun mit einem DDNS realisieren. Meine IPV6 adresse in der Router WebGui ist auch nicht ident mit jener, welcher mir auf diversen IP-Checker-Seiten angezeigt wird.
vielen dank für eure Hilfe!!!!!

 

[0x8100]

Meine IPV6 adresse in der Router WebGui ist auch nicht ident mit jener, welcher mir auf diversen IP-Checker-Seiten angezeigt wird.

das ist normal, da bei ipv6 kein nat benutzt wird, d.h. du siehst auf den seiten die ipv6 deines endgerätes und nicht die des routers. wenn es öffentliche ips sind (was sehr wahrscheinlichkeit sein wird), dann kannst du das ganze mit ipv6 machen. du musst nur beachten, dass du beim dyndns die ipv6 des gerätes angibst, das du wirklich erreichen willst (macht der router das vpn, dann dessen ip - macht dagegen z.b. ein raspi hinter dem router das vpn, dann die ip des raspi).

 

[Zeroflow]

Die kurze Antwort: Nein.

Die lange Antwort: Du wirst eine Lösung brauchen, die einen externen Server benutzt um die Verbindung durch das CGNAT aufzubauen. Dafür kannst du entweder selbst etwas basteln, z.B. mit einem vServer oder du suchst dir eine VPN Lösung, die das von selbst kann, z.B. Tailscale oder andere Overlay VPN Netzwerkdienste die mittels Relay Server dir ermöglichen, die VPN durch das CGNAT aufzubauen.

 

[jumbo125]

das ist normal, da bei ipv6 kein nat benutzt wird, d.h. du siehst auf den seiten die ipv6 deines endgerätes und nicht die des routers. wenn es öffentliche ips sind (was sehr wahrscheinlichkeit sein wird), dann kannst du das ganze mit ipv6 machen. du musst nur beachten, dass du beim dyndns die ipv6 des gerätes angibst, das du wirklich erreichen willst (macht der router das vpn, dann dessen ip - macht dagegen z.b. ein raspi hinter dem router das vpn, dann die ip des raspi).

okay. der VPN server läuft am Raspberry. Dieser kommt "nach" dem Router. D.h. vom Router wird mittels Port Forwarding(bei TP-Link heißt es virtueller Server) auf den Raspberry Server weitergeleitet.
Nun muss ich die ipv6 vom Raspberry nehmen? obwohl zuerst auf den router geleitet wird?

ist die ipv6 vom raspberry nicht auch eine private ip und nicht eine public ip?

Ergänzung (2. Januar 2024)

kann ein anderer router eine öffentliche ipv4 adresse haben oder liegt das rein am anbieter?

 

[0x8100]

ich gehe einfach mal davon aus, dass auch tplink kein ipv6-nat macht. welche ipv6-adresse(n) hat denn dein raspi?

D.h. vom Router wird mittels Port Forwarding(bei TP-Link heißt es virtueller Server) auf den Raspberry Server weitergeleitet.

dieses konzept wurde bei ipv4 genutzt, da dort standardmässig nat verwendet wird. mit ipv6 gibt es genug adressen und dem teilnehmer wird gleich ein ganzes netz zugeteilt und jedes gerät hinter dem router bekommt seine eigene öffentliche ipv6-adresse. ein portforwarding vom router zum endgerät braucht es ohne nat nicht mehr.

kann ein anderer router eine öffentliche ipv4 adresse haben oder liegt das rein am anbieter?

ein anderer router bringt nichts, da dessen wan-ip immer vom anbieter kommt.

 

[jumbo125]

ich habe
ult qlen 1000
inet6

lan0
inet6

xroute
inet6

oup default
inet6

docker0
inet6

 

[0x8100]

ist davon auch was global? was sagt ip a | grep inet6 | grep global ? lan0 wird wohl das richtige interface sein, wenn da eine "global" ipv6 adresse drauf ist, weisst du bescheid.

 

[jumbo125]

Okay nd diese ipv6 muss ich dann mit der ddns domain verknüpfen?
Und regelmäßig ablegchen.
Das portforwarding kann ich dann sind?

 

[0x8100]

wenn tplink das genauso wie avm macht, dann im router das portforwarding aktivieren (wobei das technisch für ipv6 kein portfowarding ist sondern einfach nur ein "allow" in der firewall) und dann die dyndns-domain mit der ipv6 des raspi verknüpfen.

 

[norKoeri]

rein am anbieter?

Welchen Mobilfunk-Anbieter hast Du in welchem Land?

 

[jumbo125]

Yess, aber vermutlich wechsle ich noch. weiß ich aber noch nicht

Ergänzung (4. Januar 2024)

wenn tplink das genauso wie avm macht, dann im router das portforwarding aktivieren (wobei das technisch für ipv6 kein portfowarding ist sondern einfach nur ein "allow" in der firewall) und dann die dyndns-domain mit der ipv6 des raspi verknüpfen.

so, nun weiß ich, das ich für ethernet verschiedene ipv6 global adressen habe, aber nur eine beginnt mit 2001 und endet mit /64

für wlan habe ich verschiedene ipv6 global auch aber nur eine beginnt mit 2001 und endet mit /64
alle 4 enden mit /64

da ich über ethernet verbunden bin, habe ich mich für die ethernet adressen entschieden.
wenn ich in die adressleite [ipv6]:80 eingebe, komme ich direkt auf den localhost meines pc.
Aber, wenn ich nun die IPV6-adresse in dynu dns hinterlege und von einem fremden netzwerk aus darauf zugreife, komme ich mit http://[ipv6]ortzahl nicht auf den PC. :-(

am router habe ich aber "nur" bei der ipv6 firewall eine Eingehende Firewall-Regeln mit TCP erstellt.... fehlt da noch etwas??? muss ich irgendwo die CGNAT adresse eingeben?

 

[riversource]

Hast du auch auf dem PC in der Firewall den Port freigegeben? Zugriffe aus dem LAN sind was anderes, als aus dem WAN.

Es gibt auch Mobilfunkprovider, die blockieren bei IPv6 den Zugriff von außen, trotz öffentlicher IP. Vor allem mobile Endgeräte sind oft wandelnde Sicherheitslücken, da lässt man keine Zugriffe von außen zu.

 

[jumbo125]

Den Port den ich hinter die ipv6 schreibe? Ja, die sind freigeschaltet in der Firewall

 

[riversource]

Ist das ein Windows PC? Da kann die Firewall sehr komplex sein, für die Unterscheidung zwischen IPv4, IPv6, WAN, LAN, öffentlicher und privater Netze. Also prüfe das noch mal.

Ansonsten: Bist du sicher, dass dein Anbieter den Zugriff von außen auf deine öffentliche IPv6 erlaubt?

 

[norKoeri]

Yess, aber vermutlich wechsle ich noch.

Das Land (Österreich) oder den Anbieter (yesss!)?
Ich hatte extra nach dem Land gefragt. Wenn ich jetzt nicht zufällig gewusst hätte, dass yesss! aus Österreich ist, hätte ich extra nochmal suchen müssen, Zeit vergeudet, die dann anderen Fragenden genommen wäre. Also bitte Nachfragen beantworten.

nun weiß ich

Kannste erstmal alles knicken. Mobilfunk-Anbieter in Deutschland (und Österreich) schalten für Dich eine Firewall, die Du erstmal nicht unter Kontrolle hast. Diese Firewall musst Du abschalten lassen, indem Du eine Public-IP beantragst … (Formular auf Seite 1). „Unser“ Thread zu dem Thema ist übrigens hier …

 

[jumbo125]

Das Land (Österreich) oder den Anbieter (yesss!)?
Ich hatte extra nach dem Land gefragt. Wenn ich jetzt nicht zufällig gewusst hätte, dass yesss! aus Österreich ist, hätte ich extra nochmal suchen müssen, Zeit vergeudet, die dann anderen Fragenden genommen wäre. Also bitte Nachfragen beantworten.

bitte um verzeihung!
alles klar. danke!!!!