ComputerBase Menü
Aktuelles

Portmapper für VPN-Verbindung (DS-Lite Router)

francy_space

francy_space

Ensign
Registriert
Juni 2020
Beiträge
169
Hallo,

ich habe einen DS-Lite Router (Connect Box) daheim. Das heißt: Mein Router ist extern nur über eine öffentiche Ipv6-Adresse erreichbar, die ihr der Provider zugewiesen hat.
Bevor ich meinen Raspberry Pi als VPN-Server umwandeln will, will ich meinen Router extern über eine Ipv4-Adresse erreichbar machen.

Dafür brauche ich einen Portmapper, der auf einem VPS-Server oder root-Server aufgesetzt wird. Der Server muss sich dabei außerhalb des eigenen Netzwerkes befinden und über eine öffentliche Ipv4- und Ipv6 Adresse verfügen. Am besten in einen Rechenzentrum.

Mit dem Programm "6tunnel" setzte ich diesen Portmapper auf dem Server auf. So sieht der Befehl aus:

6tunnel port_eingabe Ipv6:adresse port_eingabe

1. Frage: Was macht dieser Portmapper genau?
2. Frage: Trage ich bei dem Befehl von 6tunnel als Ipv6-Adresse, die öffentliche Ipv6-Adresse meines Routers ein, die ich extern per Ipv4 erreichbar machen will?
3. Frage: Für was steht der erste und zweite Port, den ich beim 6tunnel-Befehl eingebe?
4. Frage: Muss ich am Heimrouter Portfreigaben für beide Ports einrichten? Wenn ja, was ist die Ziel-Ipv6 bei der Portfreigabe?
5. Frage: Kann ich nach erfolgreicher Einrichtung des Portmappers sagen, dass mein Router extern über die Ipv4-Adresse des vServers erreichbar ist?

Vielen Dank.
 
Dran denken, dass 6tunnel kein UDP kann. Nur TCP. Da bei VPN oftmals UDP verwendet wird musst du es entweder auf TCP umstellen oder socat bzw. andere Alternativen anschauen welche UDP können.
 
  • Gefällt mir
Reaktionen: francy_space
Ich gehe mal davon aus, dass du dich im ehemaligen Unitymedia Gebiet befindest. (wenn nicht einfach ignorieren)
Dann kannst du einfach den Powerupload für 3€ im Monat buchen und dich per Hotline auf echtes Dual Stack umschalten lassen.
Je nach dem, könnte das der günstigere/bessere Weg sein dein Ziel zu erreichen.
 
@Nurum : Du hast vollkommen recht. Ich will es aber geschafft haben, auf einem DS-Lite Router einen VPN-Server aufzusetzten. Daher meine Neugier.
 
  • Gefällt mir
Reaktionen: Nurum
Von der Absicherung und Pflege von Servern die im Web stehen und Dienste anbieten verstehst du hoffentlich auch was? Ansonsten solltest du das tunlichst bleiben lassen, irgendwelche VPS oder root Server anzumieten. Das kann ins Auge gehen.

Ansonsten ist es eigentlich relativ klar wie das ganze funktioniert. Dein VPS hält auf IPv6 Basis eine Verbindung mit deinem Router. Du baust ein VPN auf IPv4 Basis zu deinem VPS auf, welcher den Traffic dann entsprechend weitertunnelt über den bestehenden VPN.

Dazu brauchst du eben die Angaben oben. Die Ports sind einfach nur Quell und Zieladresse+Portangaben.
Ich weis nicht ob deine IPv6 Adresse bei Unitymedia statisch ist, wenn nein, dann brauchst du noch einen Naming Dienst dazwischen (also sowas wie DynDNS früher, ka wie welche es da heute gibt). Sonst kriegst du ein Problem wenn sich die Adresse am Heimanschluss wechselt.
Evtl. musst du je nach VPS Provider auch dort in der Firewall noch Einstellungen tätigen.

Und ja du musst natürlich die entsprechenden Ports die du nutzen willst in der Connect Box auf den Raspi weiterleiten, sonst klappts nicht.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: francy_space
@Mojo1987 Hallo, die letzten Tagen habe ich zum Anlass genommen, was es heißt einen Portmapper auf einem vSerer aufzusetzen. Letzendlich tut der Portmapper nichts anderes, als Informationen (Pakete ?) von einem Port des vServers zu einem Port des Heimrouters weiterzuleiten.

Sprich: Er baut ein Tunnel von Rechenzentrum, wo der vServer sitzt, zum Heimrouter auf.

Befehlstechnisch sieht das ganze vereinfacht so aus:

6tunnel | extern erreichbarer vServer-Port | öffentliche Ipv6-Adresse des Heimrouters | lokaler Port innerhalb des Heimnetzwerkes

Real würde es so aussehen, wenn x:y:z stellvertretend für die öffentliche Ipv6-Adresse des Routers stehen würde:

6tunnel 1194 x:y:z 1194

Der vServer schickt die Pakete, die extern auf seiner IP-Adresse und seinem Port eintreffen zum Heimnetzwerk samt Router und Port weiter.

So fern, so gut.

Die Gesetze der Logik sagen mir aber, dass ich auf meinem DS-Lite Router (ConnectBox) noch Anpassungen vornehmen muss. Eingehend werden vom vServer Pakete an einen bestimmten Port des Routers verschickt. Damit diese Pakete auch beim Port des Routers ankommen, muss ich an der ConnectBox folgendermaßen die Portfreigabe einrichten:

Protokoll: TCP
Quell-Ipv6: Ipv6-Adresse des vServers
Quell-Port: extern erreichbarer vServer-Port (siehe 6tunnel-Befehl oben)
Ziel-Ipv6: öffentliche IP-Adresse des Heimrouters
Ziel-Port: gewünschter Port. wohin die Pakete innerhalb des Heimnetzwerks weitergeleitet werden sollen

Die Gesetze der Logik sagen mir aber auch, dass ausgehend vom Heimrouter Pakete an den vServer verschickt werden können.
Das heißt: Ich müsste auf der ConnectBox eine 2. Portfreigabe einrichten. Diesmal ist die Quell-IP die öffentliche Ipv6-Adresse des Heimrouters. Die Ziel-IP ist demnach die Ipv6-Adresse des vServers.

Denke ich zu kompliziert oder ist die Logik richtig, die ich bei der Portfreigabe beachten muss?
 
Für den ausgehenden Teil musst du idr nichts einrichten an der Connectbox, das ist bei Consumergeräten normalerweise nicht nötig.

Der Rest sollte so passen, hatte ich ja im groben genauso beschrieben.
Denk bitte daran, das wenn die IPv6 Adresse deines Heimanschluss geändert wird (z.B. bei einem Reboot) die ganze Konstellation nicht mehr funktioniert. Dagegen hilft sowas wie DynDNS oder vergleichbar.

Bitte lies dich auch in die Pflege und Wartung einer VPS ein und wie man diese grundlegend absichert. Du bist für das System dann verantwortlich, wird damit Schindlunder getrieben, haftest du.
Zusätzlich sei gesagt, das die VPS auf Providerseiten noch eine extra Firewall haben kann, in der Einstellung nötig sind (kenn ich z.B. Netcup). Dort musst du natürlich ebenfalls Anpassungen vornehmen.
 
  • Gefällt mir
Reaktionen: francy_space
@Bob.Dig
Hast recht, scheint bei Netcup tatsächlich weggefallen zu sein. War früher definitv da. Analog dazu sind dann natürlich die Linux eigenen IPTables entsprechend zu konfigurieren.
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

M
Fritzbox 6690 mit DS-Lite routet traffic nicht durch Wireguard VPN.
2
Antworten
25
Aufrufe
3.488
klampf
K
francy_space
DynDNS mit DS-Lite Router
2
Antworten
32
Aufrufe
13.571
Raijin
Raijin
francy_space
IP-Paket bei "DS-Lite Routern"
Antworten
7
Aufrufe
1.615
TheCadillacMan
TheCadillacMan
francy_space
Self-Hosted Portmapper
Antworten
12
Aufrufe
8.091
francy_space
francy_space
francy_space
DS-Lite Router im Kommen?
2
Antworten
20
Aufrufe
3.063
brainDotExe
brainDotExe
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz