Tach zusammen,
ich habe ähnliche Probleme und Vorhaben gehabt und ein Problem das ich nun gelöst habe hat mich hier hin geführt.
Ich wollte meine Konstellation hier posten und meine Lösung mit Euch teilen (habe dafür etliche Stunden gesucht und getestet.
Nun läufts (wieder)
Meine Anwendungsfall lautet das ich einen eigenen Mailserver auf einem Pi hinter einer Fritzbox mit DS Lite Anschluss betreibe. Auf diesen Mailserver hatte ich immer zu Zeiten als ich noch eine IP V4 Adresse besaß über Portforwarding ohne Probleme per VPN vom Handy oder anderen Clients mit entspr. VPM Clientconfig Zugriff.
Mit dem DS Lite Internetzugang und der nun nur noch öffentlichen IP V6 Adresse war die Lösung dann Geschichte.
Also
PI <=>LAN<=>Fritzbox/DSLite<=>WAN<=> Handy (Problem:wie bekomme ich vom Handy per VPN an den PI)
1. Ihr benötigt ein MyFritz Konto
2. Ihr benötigt einen kostenpflichtigen sogenannten Portmapping Dienst im Internet (ich habe feste-ip.net genommen, dort sind 30 Tage kostenlos, das habe ich genutzt um das auszutesten und danach für eine Jahr Credits gebucht für den Dienst (kostet ca 5€/Jahr))
Bez openVPN Konfig zu beachten wäre das ich auf dem vpn server tcp6 nutze muss (tcp wg. Portmapper).
Jetzt zu der Fritzbox (7430) Port Freigabe die sich auch zuletzt als sehr zickig rausgestellt hat:
1. Freigaben + Gerät für Freigaben hinzufügen dann in dem Fenster bei Gerät wurde bei meinem freizugebender PI IPV6 adresse 2 Einträge angezeigt. Wichtig ist das ihr den öffentlichen nehmt und das müsst ihr probieren bzw auf dem Pi den Befehl "dig -6 aaaa +short myip.opendns.com @2620:0:ccc::2" absetzen um das rauszufinden. Das ist die öffentliche IPV6 des Pi (habe ich vom Post weiter oben, top Kommando!!) Oder einfach testen, habe ich hundert mal hin und her geswitcht.
2.dann habe ich noch eine Haken bei "Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen." gesetzt und dann auf neue Freigabe geklickt.
Dort dann myfritz freigabe, bei Beizeichnung zb ovpn, bei Schema http://, beim Port den vpn Port 1194, und dann OK, und dann übernehmen. Jetzt ist es wichtig das es in der Spalte bei "Port extern vergeben IPv6" der Port 1194 erscheint. Nur dann ist der Port offen. Mein Probelm war zuletzt das immer der 1194 Eintrag in der Spalte " Port extern vergeben IPv4" stand. Warum auch immer. Ich habe mir damit beholfen das ich eine weitere Freigabe auf den Pi wie schon oben beschrieben vorgenommen habe auf Basis des zweiten Eintrags für den Pi bei der Auswahl "Gerät für Freigaben hinzufügen" Einträge dann wie oben beschrieben wiederholt und Freigabe übernommen. Erst danach war dann der IPV6 Port offen für den PI.
Ergebnis siehe hier:
Nun geht es weiter bei feste-ip.net und dafür braucht ihr den myfritznamen des Pi's (den bekommt ihr angezeigt wenn ihr in dem Fenster auf bearbeiten geht, dann erscheint er in den Freigabenzeilen.
in etwa gerätename.irgendwasverkryptetes.myfritz.net
In feste IP dann einen "Universelle - IPv6 <-> IPv4 Portmapper" anlegen in der Form:
[Edit Novize: Bilder gemäß der Forumsregeln auf Vorschau verkleinert]
Hier könnt ihr schon testen wenn ihr auf den Doppelpfeil beim Zielport klickt ob der Port offen ist.
Beim Hostnamen tragt ihr den gerätename.irgendwasverkryptetes.myfritz.net ein der Port ist der ovpn port 1194 (wie auf ovpn server) und das IPv4 mapping über einen Namen den ihr vergebt z.b eure.feste-ip.net der Port wird zufällig vergeben. Für die VPN client config benötigt ihr nun den mapping namen incl den Port aus feste-ip also "eure.feste-ip.net:10023" (portnummer nur als BSP)
Die vpn client config ist dann eine IP V4 config also:
port 10023 #LISTEN PORT aus feste ip net
remote eure.feste-ip.net #SERVER IP OR URL
proto tcp #OPENVPN PROTOCOL
dev tun
usw. möchte nicht auf vpn config eingehen.
Damit hat es dann gefunzt. Bis ich soweit war hat das ca 1,5 Jahre gedauert.
Ich hoffe es hilft Euch weiter! Viel Erfolg!
tape_willi