[HowTo] Suche How2 für IPv6 VPN Server hinter Fritzbox

deerhunter

Mitglied
Mitglied seit
24 Feb 2005
Beiträge
590
Punkte für Reaktionen
0
Punkte
16
Tja, egal was ich mache. Ich komme von aussen vie IPv6 (o2 Mobilfunknetz) nicht drauf.
Portfreigaben passen, mehr geht nicht.
Bin ich in meinem Heimnetzwerk komme ich mit VPN, allerdings über IPv4 mit xxx.dnvv6.net einen Connect zum VPN Server.
Alles andere funzt nicht. Ich kriegs nicht hin. Hier kann mir nur jemand helfen, bei dem es auch in dieser Config funktioniert.
Ich gebe auf! :-(
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,965
Punkte für Reaktionen
26
Punkte
48
Tja, egal was ich mache. Ich komme von aussen vie IPv6 (o2 Mobilfunknetz) nicht drauf.
Portfreigaben passen, mehr geht nicht.
Nein, Du solltest noch nicht aufgeben.

Teste mal auf deinem PI, mit:
Code:
dig -6 aaaa +short myip.opendns.com @2620:0:ccc::2
welche IPv6-Adresse von extern erreichbar ist und vergleiche diese IPv6-Adresse mit der IPv6-Adresse die Du via o2-Mobilfunknetz für den Zugriff auf den PI, benutzt. Wenn diese identisch sind, dann starte auf deinem PI:
Code:
sudo tcpdump -c 30 -vvveni eth0 port <freigegebener-Port_für_IPv6>
(freigegebener-Port_für_IPv6 anpassen und ohne spitze Klammern).
Mach jetzt einen Zugriff von extern per IPv6 und poste danach die Ausgabe von tcpdump.
 

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,908
Punkte für Reaktionen
70
Punkte
48
Bin ich in meinem Heimnetzwerk komme ich mit VPN, allerdings über IPv4 mit xxx.dnvv6.net einen Connect zum VPN Server.
Vielleicht ist das einer der Kardinalfehler: Warum löst der dynv6 Name überhaupt eine IPv4 Adresse auf?

Hier kann mir nur jemand helfen, bei dem es auch in dieser Config funktioniert.
Ich hab praktisch die gleiche Konfig, wie du. Deutsche Glasfaser mit 400 MBit/s und diverse Serverdienste im Heimnetz über Portfreigaben, darunter SSH und HTTPS Dienste, aber auch andere TCP Sockets und sogar ein UDP Dienst. Das alles flitzt reibungslos. (Übrigens zu deiner Signatur: DG macht kein DS-Lite, sondern echtes DualStack mit CGNAT für IPv4).

Ansonsten kann ich mich nur den Ausführungen von @sf3978 anschließen. Teste das noch mal.
 

deerhunter

Mitglied
Mitglied seit
24 Feb 2005
Beiträge
590
Punkte für Reaktionen
0
Punkte
16
Zuletzt bearbeitet:

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,965
Punkte für Reaktionen
26
Punkte
48
Command not found kommt als Ergebnis.
IPv6 der Freigabe in der Fritte passt
Dann musst Du tcpdump und dnsutils auf deinem PI installieren:
Code:
sudo apt update
sudo apt-get install tcpdump dnsutils
sudo dpkg --configure -a
Kann sein, dass die IPv6-Freigabe in der FB passt, aber wenn Du es mit tcpdump testest, dann wissen wir es ganz genau. BTW: Es gibt auch in anderen Foren noch viel zu oft die Frage, wie man die IPv6-Freigabe in der FB konfiguriert.
 

deerhunter

Mitglied
Mitglied seit
24 Feb 2005
Beiträge
590
Punkte für Reaktionen
0
Punkte
16
[email protected]:~ $ sudo tcpdump -c 30 -vvveni eth0 port xxxx
tcpdump: listening on eth0, link-type EN10MB (Ethernet), capture size 262144 bytes

0 packets captured
0 packets received by filter
0 packets dropped by kernel
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,965
Punkte für Reaktionen
26
Punkte
48
0 packets captured
0 packets received by filter
0 packets dropped by kernel
Ist das die Ausgabe von tcpdump, nach dem Du einen Zugriff per IPv6 von extern gemacht hast?
Wenn ja, dann teste erneut mit einem geeigneten WEB-online-Tool, als Alternative/Ergänzung zum Zugriff aus dem o2-Mobilfunknetz.

EDIT:

Z. B. mit http://www.ipv6scanner.com/cgi-bin/main.py oder gleichwertig.

tcpdump soll auch beim Zugriff mit dem Web-obline-Tool, schon im Vorfeld aktiv sein.
 

Insti

Mitglied
Mitglied seit
19 Aug 2016
Beiträge
730
Punkte für Reaktionen
79
Punkte
28

Anhänge

  • Screenshot_20210511-112911_Chrome.jpg
    Screenshot_20210511-112911_Chrome.jpg
    178.5 KB · Aufrufe: 7

Insti

Mitglied
Mitglied seit
19 Aug 2016
Beiträge
730
Punkte für Reaktionen
79
Punkte
28
Im Beitrag #20 wurde dir von @sonyKatze geschrieben mal mit ifconfig zu direkt im Pi zu schauen. Hast du das auch gemacht?
 

deerhunter

Mitglied
Mitglied seit
24 Feb 2005
Beiträge
590
Punkte für Reaktionen
0
Punkte
16
[email protected]:~ $ sudo ddclient -force
SUCCESS: updating xxxxxxx.dynv6.net: good: IP address set to xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx

die ifconfig zeigt die gleiche an (good IP Adress)
eth0: inet6 xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx
komme trotzdem aus dem mobilfunknetz nicht via openvpn-connect drauf
 
Zuletzt bearbeitet:

frank_m24

IPPF-Urgestein
Mitglied seit
20 Aug 2005
Beiträge
17,908
Punkte für Reaktionen
70
Punkte
48
die ifconfig zeigt die gleiche an (good IP Adress)
Und das ist auch die richtige IP? Sprich die öffentliche IP mit dem richtigen Präfix und der Interface-ID, die zur Freigabe in der Fritzbox passt?
 

deerhunter

Mitglied
Mitglied seit
24 Feb 2005
Beiträge
590
Punkte für Reaktionen
0
Punkte
16
Moin,
ob das die richtige ist, weiss ich doch nicht. Hab doch da keine Ahnung von.
öffentlich, global, .......?
gehe ich auf meinen Dynv6 account und drücke Aktualisieren currient Adress, steht bei IPv4 eine IP, die ich nirgends finde und bei IPv6 Provider IPv6 + IPv6 eine weitere, die ich nirgends finde.

[email protected]:~ $ sudo ddclient -force
SUCCESS: updating zwuckler.dynv6.net: good: IP address set to xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx:xxxx

Der erste Teil der IPv6 ist gleich (ProviderIPv6) der hintere Teil unterscheidet sich zwischen ddclient -force und dem dynv6 account und diesen 2.Teil der IPv6 im dynv6 account finde ich nirgends.
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,965
Punkte für Reaktionen
26
Punkte
48

deerhunter

Mitglied
Mitglied seit
24 Feb 2005
Beiträge
590
Punkte für Reaktionen
0
Punkte
16
Habs glaub ich jetzt irgendwie hinbekommen.
Zumindest verbindet der OVPN Client sich via mobilfunknetzIPv6 mit dem PiVPN Server des PI

Habe
slaac hwaddr
in der "/etc/dhcpcd.conf gesetzt und in der Fritzbox-Freigabe die IPv6 Interface-ID auf den 2.Teil der IP vom ddclient -force gesetzt. Also manuell geändert.

Ob das alles was ich so gemacht habe auch richtig war sei dahingestellt. Es funktioniert erstmal. Wie lange wird sich noch zegen.
Jetzt muss ich nur irgendwie alle relevanten Dateien sichern und/oder ein Image vom Pi ziehen.
Falls da noch jemand tipps zu hat...?!
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,965
Punkte für Reaktionen
26
Punkte
48
Habe
slaac hwaddr
in der "/etc/dhcpcd.conf gesetzt ...
Falls da noch jemand tipps zu hat...?!
Jetzt kannst Du noch die privacy extensions (PE) auf deienem PI deaktivieren, so dass immer nur die eine externe IPv6-Adresse mit der statischen Interface-ID, auf deinem PI vorhanden ist.
Siehe z. B.: https://wiki.ubuntuusers.de/IPv6/Privacy_Extensions/

BTW: Du musst den ddclient nicht immer mit "-force" benutzen.
Poste mal von deinem PI die Ausgaben von:
Code:
systemctl status ddclient.service
sudo cat /var/cache/ddclient/ddclient.cache

EDIT:

Siehe auf deinem PI auch die Ausgaben von:
Code:
sudo ddclient -noexec -verbose
sudo ddclient -noexec -verbose -query
 
Zuletzt bearbeitet:

deerhunter

Mitglied
Mitglied seit
24 Feb 2005
Beiträge
590
Punkte für Reaktionen
0
Punkte
16
die /10-ipv6-privacy.conf existiert nicht.

systemctl status ddclient.service
● ddclient.service - LSB: Update dynamic domain name service entries
Loaded: loaded (/etc/init.d/ddclient; generated)
Active: active (running) since Wed 2021-05-12 08:27:28 BST; 46min ago
Docs: man:systemd-sysv-generator(8)
Process: 556 ExecStart=/etc/init.d/ddclient start (code=exited, status=0/SUCCE
Tasks: 1 (limit: 2062)
CGroup: /system.slice/ddclient.service
└─617 ddclient - sleeping for 200 seconds
 

sf3978

IPPF-Promi
Mitglied seit
2 Dez 2007
Beiträge
7,965
Punkte für Reaktionen
26
Punkte
48
die /10-ipv6-privacy.conf existiert nicht.


└─617 ddclient - sleeping for 200 seconds
Dann musst Du diese Datei (mit nano oder gleichwertig), im Verzeichnis "/etc/sysctl.d" erstellen oder Du benutzt die bereits vorhandene Datei "/etc/sysctl.conf".

BTW: In der Datei "/etc/default/ddclient" könntest Du "daemon_interval=" auf z. B. 14400 (das sind 4 Stunden) oder einen anderen Zeitintervall (in Sekunden) stellen.
 
Zuletzt bearbeitet:
  • Like
Reaktionen: frank_m24

deerhunter

Mitglied
Mitglied seit
24 Feb 2005
Beiträge
590
Punkte für Reaktionen
0
Punkte
16
Hab jetzt also in die /etc/sysctl.conf
net.ipv6.conf.all.use_tempaddr = 0
gesetzt.

daemon_interval=" auf z. B. 14400 <- auch gesetzt
 

bugmenotbugmenot

Neuer User
Mitglied seit
10 Jun 2018
Beiträge
104
Punkte für Reaktionen
16
Punkte
18
IPv6 hat echt noch einen langen Weg vor sich. Vor Jahren wäre der richtige Zeitpunkt gewesen, wenigstens mal damit herumzuspielen. Das nötige Wissen ist noch überhaupt nicht bei den Nutzern angekommen.

Man braucht Privacy Adressen nicht abzuschalten, um EUI-64 Adressen zu nutzen. Es ist völlig normal, mehrere IPv6 Adressen auf dem System zu haben. Die werden für verschiedene Zwecke benutzt. Ein Client wie ein Webbrowser wird z.B. eine Privacy Adresse bevorzugen. Einen Server spricht man dagegen über eine dauerhaftere Adresse an. Das beißt sich überhaupt nicht.
 

Zurzeit aktive Besucher

3CX

Neueste Beiträge

Statistik des Forums

Themen
238,449
Beiträge
2,112,734
Mitglieder
361,205
Neuestes Mitglied
andivialli

Erhalten Sie 3CX für 1 Jahr kostenlos!

Gehostet, in Ihrer privaten Cloud oder on-Premise! Ganz ohne Haken. Geben Sie Ihren Namen und Ihre E-Mail an und los geht´s:

3CX
Für diese E-Mail-Adresse besteht bereits ein 3CX-Konto. Sie werden zum Kundenportal weitergeleitet, wo Sie sich anmelden oder Ihr Passwort zurücksetzen können, falls Sie dieses vergessen haben.
oder via