Wireguard: IPv4 + IPv6 nicht möglich

[floklo4]

Ich hab jetzt eine Domain eingerichtet und die als Endpoint eingesetzt - Verbindung klappt per IPv4 weiterhin. KeepAlive hat jetzt auch einen Wert (23). Nur um es nochmal deutlich zu machen: Ich nutze WgServerforWindows: Link. Das Programm macht „theoretisch“ das: Link. Man kann also nicht von einer WireGuard Config ausgehen. Soweit ich sehe, sind verschiedene Ordner für eingebunden:

C:\Users\USER\AppData\Roaming\WS4W\clients_data
C:\Users\USER\AppData\Roaming\WS4W\clients_wg
C:\Users\USER\AppData\Roaming\WS4W\server_data
C:\Users\USER\AppData\Roaming\WS4W\server_wg

"clients_data" enthält dabei für jeden Peer eine eigene Conf-Datei:

# iPhone14
[Interface]
Name=iPhone14
Address=10.253.0.4
AllowedRoutableIPs=0.0.0.0/0
DNS=1.1.1.1, 8.8.8.8
Index=1
IsEnabled=True
DNSSearchDomains=
PersistentKeepalive=
PrivateKey=key
PublicKey=key
AllowedIPs=10.253.0.4
PresharedKey=key

"clients_wg" enhält auch Conf-Dateien für jeden Peer:

# iPhone14
[Interface]
Address=10.253.0.4
DNS=1.1.1.1,8.8.8.8
PrivateKey=key


# WG-Server
[Peer]
Endpoint=domain:51820
PresharedKey=key
AllowedIPs=0.0.0.0/0
PublicKey=key

"server_data" enhält:

# WG-Server
[Interface]
Name=WG-Server
ListenPort=51820
AllowedIPs=0.0.0.0/0
Endpoint=domain:51820
Address=10.253.0.1/24
PersistentKeepalive=23
PrivateKey=key
PublicKey=key

"server_wg" hat folgenden Inhalt:

# WG-Server
[Interface]
ListenPort=51820
PrivateKey=key

# iPhone14
[Peer]
PersistentKeepalive=23
PublicKey=key
AllowedIPs=10.253.0.4
PresharedKey=key

- für jeden Peer...

 

[riversource]

Ich hab jetzt eine Domain eingerichtet und die als Endpoint eingesetzt - Verbindung klappt per IPv4 weiterhin.

Dann scheint dein Client IPv4 zu bevorzugen oder keine IPv6 Adresse zu haben.

Soweit ich sehe, sind verschiedene Ordner für eingebunden:

In den Ordnern scheinen einmal "normale" Wireguard Configs zu liegen und einmal interne Konfigurationen. Im Moment sehen die sogar gut aus.

Da könntest du jetzt die Informationen für dein IPv6 Subnetz hinzufügen, um es über den Tunnel zu übertragen. Hast du die Sache mit dem NDP Proxy geklärt?

 

[floklo4]

Im WLAN auf Arbeit hat das iPhone nur eine v4-Adresse. Über den Tunnel konnte ich im Internet surfen. Nutzte ich das iPhone über mobiles Internet bzw. daheim im WLAN, dann ging es nicht. Lag wohl am Dual Stack, da dann v6 bevorzugt wird. Sieht man auch auf wieistmeineip oder ipv64, dass da v4 als Fallback angezeigt wird.

Ich hab jetzt das öffentliche v6-Subnetz wieder hinzugefügt für den Tunnel. Die :1 hat der Server selbst. Im Tunnel nutzt der Server :2 und das iPhone :3. Jetzt funktioniert die VPN-Verbindung auch über mobile Daten. Jedoch meinen die Seiten von oben, dass ich nur IPv4 habe (die öffentliche v4-Adresse vom Server). Als v6 wird nicht angezeigt. Soweit scheint ja bisher alles zu funktionieren, nur möchte ich noch eine angezeigt bekommen, damit das richtig als Dual Stack läuft...

Da denkt man: Kann ja nicht so schwer sein... Aber es ist auch schön, sich weiterzubilden

 

[riversource]

Noch mal die Frage: ist das IPv6 Subnetz, dass du für den VPN Tunnel benutzt, das mitgelieferte des Servers? Ich frage sowas nicht zum Spaß. Das wird so ohne weiteres nicht funktionieren, aufgrund der NDP Problematik.

 

[floklo4]

In der Cloud von Hetzner hast du nur ein IPv6-Subnetz. Hätte ich zusätzliche Adressen, dann hätte ich "Floating-IPs" schon längst erwähnt. Wenn ich jetzt eine zusätzliche Floating-IP buche, wie müsste das konfiguriert werden? Der Server behält seine v6-Adresse und das zusätzliche Netz ist für den Tunnel intern?

 

[riversource]

Hätte ich zusätzliche Adressen, dann hätte ich "Floating-IPs" schon längst erwähnt.

Sind das immer Floating IPs? Zusätzliche IPs können ja auch servergebunden sein. So kenne ich es von anderen Anbietern. Aber kann sein, dass bei Hetzner Zusatz-IPs immer Floating IPs sind. Ist aber auch egal.

Wenn ich jetzt eine zusätzliche Floating-IP buche, wie müsste das konfiguriert werden? Der Server behält seine v6-Adresse und das zusätzliche Netz ist für den Tunnel intern?

Genau so würde man es machen.

Vorher solltest du aber sicherstellen, dass alles andere soweit passt, also Routing und Forwarding für IPv6. Nicht, dass es am Ende an einer Einstellung hakt und nicht am Subnetz.

 

[floklo4]

In der Hetzner Cloud heißen zusätzliche IPs immer Floating IP. Die können zwischen Cloudinstanzen hin und her geschoben werden. Bei den dedizierten Servern heißen die Zusatz-IPs auch Zusatz-IPs.

Mal schauen, wie ich das so hinbekomme...

 

[Bob.Dig]

In der Hetzner Cloud heißen zusätzliche IPs immer Floating IP.

Kann ja auch sein, dass Du dir die sparen kannst, wenn hetzner der prefix zu dir routet, u.U. nach einer entsprechenden Bitte.

Wenn Du das Ganze erfolgreich über die Win-GUI machst, gerne ein paar Bildchen hier einstellen.

 

[floklo4]

Ich habe letztens wieder ein wenig rumprobiert. Egal, was man auf der GUI konfiguriert, der Client hat dann nur die IPv4-Adresse nach extern. Dabei ist es egal, ob man auf dem Server ein Windows Server 2022 oder ein Windows 10 einsetzt. Selbst wenn man IPV6 only den Tunnel nutzen möchte, geht es nicht, da Fehler angezeigt werden und die Konfiguration nicht gespeichert werden kann.

Das Problem sehe ich hier eindeutig bei Windows selbst. Setzt man eine neue Cloudinstanz mit Linux auf und lässt direkt die WireGuard App installieren, dann haben die Clients auch Dual Stack, ohne irgendwelche Probleme.

 

[Holzkopf]

Wenn du eine IPv6 Adresse als Endpoint angibst muss die Adresse in [] gesetzt werden da noch der Port dazu kommt.
also z.b. [2A01:4F8:???:????::1]:51820

 

[floklo4]

Endpoint ist eine Domain, also ein Name und dort stehen keine IPs drin (Domain hat A und AAAA Record). Klammern machen aber am Ende auch keinen Unterschied. Wie gesagt: Unter Linux läuft das direkt und ohne Probleme.

 

[TheCadillacMan]

Ich hab jetzt das öffentliche v6-Subnetz wieder hinzugefügt für den Tunnel. Die :1 hat der Server selbst. Im Tunnel nutzt der Server :2 und das iPhone :3. Jetzt funktioniert die VPN-Verbindung auch über mobile Daten. Jedoch meinen die Seiten von oben, dass ich nur IPv4 habe (die öffentliche v4-Adresse vom Server). Als v6 wird nicht angezeigt. Soweit scheint ja bisher alles zu funktionieren, nur möchte ich noch eine angezeigt bekommen, damit das richtig als Dual Stack läuft...

Am Server muss wahrscheinlich das IPv6-Forwarding aktiviert werden: https://learn.microsoft.com/de-de/t...configure-ip-version-6#enable-ipv6-forwarding