ComputerBase Menü
Aktuelles

Starlink (CGNat) und Wireguard ?

GlockMane88 schrieb:
TailScale klingt auch interessant.. Bin mir nur nicht sicher, wo ich das installieren soll.. Habe einen Proxmox Server mit einem WireGuard LXC, installiere ich dann Tailscale in diesem Container?
Zum Vergrößern anklicken....
Man kann Tailscale entweder auf jedem Server installieren zu welchen sich die Tailscale Endgeräte direkt mit der Tailscale internen IP bzw. Hostnamen verbinden können oder man hat eine Exit Node im Netzwerk über welche der Netzwerkverkehr der Tailscale Endgeräte dann ins Netzwerk eingeleitet wird.

Vorteil der Exit Node für mich ist, dass man Tailscale nicht auf jedem Server installieren muss und somit auch nicht die Tailscale IP Adressen bzw. Hostnamen verwenden muss (oder kann) sondern die normalen LAN IPs. Mann kann auch den lokalen DNS des LAN in Tailscale konfigurieren und damit dann über Tailscale so arbeiten als ob man sich im LAN befindet.

Ich habe den für mich einfacheren Weg mit der Exit Node gewählt und Tailscale in einem separaten LXC installiert.

Wenn du eine Exit Node willst nimm einen separaten LXC, ansonsten installierst du Tailscale auf jedem Gerät/Server auf welches du zugreifen willst.
 
GlockMane88 schrieb:
Ich glaube schon (IPv6), siehe:
Zum Vergrößern anklicken....
Wenn du wirklich IPv6 hast: Hast du bedacht, dass du die VPN Verbindung zum Proxmox VPN Server aufbauen muss, und nicht zum Router (wie bei IPv4)? Bei IPv6 hat jedes Endgerät seine eigene Adresse, die von außen angesprochen werden muss. Das ist anders, als bei IPv4, wo man den Router kontaktiert, der die Pakete dann weiterleitet.
 
GlockMane88 schrieb:
Die IPv6 Firewall ist inaktiv, solte ich diese aktivieren
Zum Vergrößern anklicken....
Absolut, alles andere wäre Wahnsinn.
 
@boeck

Also Tailscale in einen eigenen LXC (wollte es von hier installieren und hatte mich gewundert, warum er fragt, in welchem vorhandenen Container ich es installieren soll, anstatt einen eigenen zu erstellen..).. Werde ich nachher mal probieren..

@Bob.Dig

Hatte dann schon selbst Angst bekommen und sie eingeschaltet ;)

@riversource

Okay, also gilt dann IPv6 intern und extern? Dachte, ich stelle nur das WAN Interface auf IPv6 um.. Dann muss ich quasi die IPv6 Adresse von meinem WireGuard Server herausfinden und in der IPv6 Firewall einen Eintrag (ähnlich einer Portweiterleitung) erstellen.. Bitte korrigiere mich, falls das Blödsinn ist..
 
GlockMane88 schrieb:
Okay, also gilt dann IPv6 intern und extern?
Zum Vergrößern anklicken....
Natürlich. Ohne IPv6 im LAN hast du keine Chance, den IPv6 VPN Server von außen zu erreichen. Du solltest von Starlink ein Prefix bekommen haben, mindestens /64, und das kann dann per Router Advertisements im LAN verteilt werden. Die Einstellung im Router heißt möglicherweise SLAAC oder so ähnlich.

GlockMane88 schrieb:
ann muss ich quasi die IPv6 Adresse von meinem WireGuard Server herausfinden und in der IPv6 Firewall einen Eintrag (ähnlich einer Portweiterleitung) erstellen..
Zum Vergrößern anklicken....
Genau. Bei IPv6 ist es einfach eine Portöffnung: Du sagst der Firewall, dass die Traffic auf dem Port zu der IP durchlassen darf.
 
Habe nun TailScale in einem Debian LXC installiert und folgende Anweisungen befolgt:

https://tailscale.com/kb/1130/lxc-unprivileged
https://tailscale.com/kb/1320/perfo...timizations-for-subnet-routers-and-exit-nodes
https://tailscale.com/kb/1103/exit-nodes

Sieht erstmal alles gut aus, in der Android App habe ich auch den CT als Exit Node gewählt und LAN Access aktiviert.. Aber ich erreiche mein LAN leider nicht..

Internet Zugriff habe ich allerdings.. Der VPN ist im Android als allways on und mit Killswitch eingestellt, also dürfte der ganze Traffic durch den VPN gehen.. Wieistmeineip.de zeigt auch auf dem Android die IP von meinem Starlink, also scheint es nur am LAN Access zu hängen..
 
Die Optimierungen habe ich nicht durchgeführt.

GlockMane88 schrieb:
Aber ich erreiche mein LAN leider nicht
Zum Vergrößern anklicken....
Siehst du im Tailscale Admin Panel folgendes:
  • Der Container ist online
  • Das Handy ist online
  • Der Container ist mit „Exit Node“ und „Subnets“ gekennzeichnet
Du versuchst dein LAN mittels IP Adresse oder Hostnamen zu erreichen?
 
@boeck

Hatte noch keine Route in mein Subnet konfiguriert, folgendes hat den Erfolg gebracht :)

tailscale set --advertise-routes=192.168.1.0/24

Vielen Dank, absolut geil :D
 
Das zeigt, dass du da einen ziemlich großen Bock in deiner Konfiguration hast. Das musst du deutlich detaillierter schildern, wenn du willst, dass wir uns das ansehen.
 
Okay, ich liefere mal ein paar Infos.

Wenn die IPv6 Firewall eingeschaltet ist, bevor IPv6 aktiviert wird, dann bekommt der Router keine IPv6 Adresse (im ersten Bild sind dann keine Adressen eingetragen und die beiden Testseiten bringen 0 Punkte beim Test..)..

Wenn ich allerdings die Firewall auschalte, erscheinen dann die Adressen in der Asus Oberfläche (siehe Screenshot) und bleiben auch, nachdem die Firewall wieder eingeschaltet wurde.

Die Tests bringen dann verschiedene Ergebnisse, der eine zeigt 10 von 10 und das IPv6 vorhanden ist, der andere sagt nein, gibt aber trotzdem mehr Punkte, als anfangs..

Habe jetzt nochmal den IPv6 Test von wieistmeineip.de laufen lassen, alles grün:

Ihre IPv4-Adresse lautet:xxx.xxx.xx.xxx
Ihre IPv6-Adresse lautet:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
Test IPv4:OK
Test IPv6:OK
Test Dual Stack:OK
Bin jetzt erstmal leicht verwirrt, einerseits wegen der IPv6 Tests und anderseits wegen der Firewall..
 

Anhänge

  • asus_ipv6.PNG
    asus_ipv6.PNG
    52,1 KB · Aufrufe: 24
  • ipv6_test_firewal_off.PNG
    ipv6_test_firewal_off.PNG
    111 KB · Aufrufe: 26
  • ipv6_test2.PNG
    ipv6_test2.PNG
    96,9 KB · Aufrufe: 26
Wir brauchen auch eine grundsätzliche Beschreibung, wie alles aufgebaut ist. Wie arbeitet das Starlink-Modem? Als Router? Als Modem? Falls als Router: macht es Prefix Delegation? Der Asus Router arbeitet als Router? Wie sehen WAN und LAN Adressen aus, sowohl für IPv6 als auch für IPv4? Welche Adressen bekommen die Endgeräte, und wie sehen die aus im Vergleich zu den WAN Adressen des Asus Routers? usw.
 
GlockMane88 schrieb:
Bin jetzt erstmal leicht verwirrt, einerseits wegen der IPv6 Tests und anderseits wegen der Firewall..
Zum Vergrößern anklicken....
Verständlich. Wenn das Starlink-Teil wie ein Modem agiert, wovon ich ausgehe, dann sollte folgendes am Ende rauskommen: Keine IPv6-Adresse am WAN des ASUS, dafür am LAN, aber unbedingt mit einem /64er Prefix. Das wäre "normal". In Windows sollte dir dann ebenfalls ein /64er angezeigt werden.
Ggf. kann es beim WAN aber auch Abweichungen geben, je nachdem, was der ASUS so "kann".
 
Zuletzt bearbeitet:
Ich habe mal ein paar Bilder angehängt.. Sieht ganz gut aus, oder? Bei meinem WireGuard Profil muss ich dann auch wie gehabt meinen Hostnamen xyz@duckdns.org:port angeben? Muss man beim WireGuard Service noch explizit IPv6 einschalten?
 

Anhänge

  • PC.PNG
    PC.PNG
    15,7 KB · Aufrufe: 21
  • WAN.PNG
    WAN.PNG
    19 KB · Aufrufe: 20
  • wg.PNG
    wg.PNG
    39,7 KB · Aufrufe: 21
  • wieistmeineip.PNG
    wieistmeineip.PNG
    40,6 KB · Aufrufe: 19
Ist denn die v6-Firewall nun aktiv? Hat dein WAN eine IPv6-Adresse?
 
@Bob.Dig

Die Firewall habe ich aktiviert, bezüglich des WAN Interfaces habe ich in meinen letzten Post einen Screenshot von wieistmeineip.de und von der WAN Seite vom Asus WRT Merlin angehängt, oder soll ich noch woanders schauen? Die IPv6 Seite im Asus WRT hatte ich bereits zwei posts davor angehängt..
 
Das heißt, WAN und LAN Adressen sind bei dir aus dem gleichen Subnetz? Das kann zwar sein, wäre aber sehr ungewöhnlich und kann auch Probleme verursachen. Bekommt der Router kein Prefix von Starlink?
 
@riversource

Schaut so aus und gute Frage.. Der Starlink Router ist auf jeden Fall im Bypass Modus, also quasi als Modem konfiguriert.. Im Asus Router habe ich mal spaßeshalber von native auf passthrough umgestellt ändert aber nichts.. Wenn ich auf die IPv6 Einstellung auf "native" stelle, dann zeigt es mir dort eine Prefixlänge von /56 an und an den Clients eine /64, das sollte ja passen..
 
Du musst dich einloggen oder registrieren, um hier zu antworten.

Ähnliche Themen

V
  • Gesperrt
Starlink...CGNAT..IPv6 nutzen
Antworten
5
Aufrufe
506
Zensai
Zensai
P
Wireguard, keine Verbindung auf Geräte im LAN, Ubuntu Client
Antworten
5
Aufrufe
682
ropf
R
K
FritzBox 6591: Wenn Wireguard in der FB aktiviert ist, funktioniert das Internet nicht mehr
Antworten
8
Aufrufe
761
Kesandal
K
usmave
Wireguard Fritzbox DS Lite zu Fritzbox Dual Stack nur Zugriff auf NAS
Antworten
15
Aufrufe
920
usmave
usmave
R
OPNsense mit Deutsche Glasfaser DS-Lite und VPS Wireguard Tunnel im Tunnel... Sinnvoll?
Antworten
19
Aufrufe
1.184
Harrdy
H
Zurück
Oben

Willkommen auf ComputerBase!

Mit Werbung weiterlesen

Besuche ComputerBase wie gewohnt mit Werbung und Tracking. Die Zustimmung ist jederzeit widerrufbar.

Details im Privacy Center und in der Liste unserer Partner. Ein Widerruf ist möglich in der Datenschutzerklärung.

… oder ComputerBase Pro bestellen

Nutze ComputerBase ohne Werbebanner, Video-Ads und Werbetracking schon für 4 €/Monat oder 36 €/Jahr.

Mehr zu ComputerBase Pro

Bereits Pro-Nutzer? Hier anmelden.

Tracking: Wir und unsere 160 Partner verarbeiten personenbezogene Daten, indem wir mit auf Ihrem Gerät gespeicherten Informationen (z. B. eindeutige Kennungen in Cookies) ein Nutzungsprofil erstellen, um z. B. Anzeigen zu personalisieren. Verarbeitungszwecke: Genaue Standortdaten und Abfrage von Geräteeigenschaften zur Identifikation, Informationen auf einem Gerät speichern und/oder abrufen, Personalisierte Anzeigen und Inhalte, Anzeigen- und Inhaltsmessungen, Erkenntnisse über Zielgruppen und Produktentwicklungen.

Impressum Kontakt Datenschutz