IPv6 Netze

[oschn]

Bei der IPv6-Firewall kann man nichts einstellen. Nur an oder aus.

[Kasimir]

man muss doch ausnahmen zulassen können...

[oschn]

Nicht bei der Kabelbox. Die IPv4-Firewall lässt da mehr zu (bspw. ICMP abweisen, verschiedene Levels). Ob eine Portweiterleitung die IPv4-Firewall überschreibt, habe ich nicht getestet. Aber vielleicht schaltet das auch entsprechende IPv6-Ports frei? Müsste ich mal probieren. Nur geht bei mir IPv6 ja gar nicht, sobald die Firewall an ist (Adressen werden zugeteilt, aber Verbindungen können nicht hergestellt werden).

Manchmal habe ich den Eindruck, CBN wollte die CH7485E abverkaufen, um für neue Modelle Platz zu machen. Und die Einkäufer bei TC haben da einen guten Deal gemacht.

[berndione]

Hier noch die (so erwartete) Antwort von AVM:

vielen Dank für Ihre Anfrage an den AVM Support.

Leider ist es aktuell nicht möglich über eine IPv6-Adresse eine VPN-Verbindung aufzubauen. Auch die Übergabe der Präfix zu einem externen DDNS-Provider ist aktuell nicht möglich.

Gerne gebe ich diese Punkte als Verbesserungsvorschlag intern an den zuständigen Produktmanager weiter.

Ob und wann diese Funktionen in die FRITZ!Box implementiert werden kann ich Ihnen leider nicht sagen. Auch Ihre Frage wann das Mesh Update für die FRITZ!Box 4040 zur Verfügung steht kann ich Ihnen leider nicht sagen. Konkrete Veröffentlichungstermine für neue FRITZ!OS-, Software- oder Treiber-Versionen können wir Ihnen leider nicht nennen. Da alle Versionen von uns vor Freigabe umfangreich und ausgiebig getestet werden, sind die Update-Termine stark von den Ergebnissen dieser Tests abhängig und können sich kurzfristig ändern.
Auch unser Support erhält daher erst kurz vor dem Update Kenntnis von der Veröffentlichung.

[Kasimir]

also wenn sie dafür nen verbesserungsvorschlag brauchen...

nett wäre es, wenn man das präfix im vpn nutzen könnte...

[berndione]

Ich habe noch einmal bei AVM nachgehakt:

Erst einmal vielen Dank für die schnelle Antwort.

Da fast alle Provider inzwischen bei IPv4 CGN einsetzen ist es also zur Zeit nicht möglich mit einer Frtzbox ein VPN aufzubauen.
- IPv4 geht nicht wegen CGN.
- IPv6 VPN wird von der Fritzbox nicht unterstützt.
- Einen eigenen VPN Server aufzusetzen geht auch nicht, da DynDNS mit IPv6 nicht funktioniert. (Präfix wird nicht übermittelt)

Gibt es eine VPN Lösung über MeinFritz IPv6 ? Oder eine andere Lösung ?


Hier die Antwort:

vielen Dank für Ihre Rückmeldung.

Ich kann die vorliegende Problematik absolut nachvollziehen und auch die damit resultierenden Folgeprobleme. Leider ist es aktuell aber so, dass mit der fehlenden öffentlichen IPv4 Adresse, es nicht möglich ist eine VPN-Verbindung zu der FRITZ!Box herzustellen.

[oschn]

Sitzen ja ganz schlaue Leute da. Die glauben einfach nicht, dass andere auch Ahnung von dem Thema haben. Klar, wenn die jetzt sagen: VPN erlauben wir nun über IPv6, dann kommen alle Halbschlauen, die dann meckern, dass sie von außen nicht draufkommen, was aber daran liegt, dass viele Netze einfach noch kein IPv6 unterstützen, und damit natürlich auch die Kommunikation zu IPv6-Adressen nicht möglich ist.

Aber vielleicht solltest du deshalb auf diesen Punkt nochmal explizit eingehen: dass du über einen IPv6-Anschluss dich per VPN mit der FritzBox verbinden möchtest. Also beide Seiten mit IPv6. Und warum das nicht geht, mit VPN über reines IPv6.

[berndione]

Warum die Fritten VPN/IPv6 nicht unterstützen weiss nur AVM allein. Ist halt noch nicht implementiert weil laut AVM bisher kein Bedarf besteht. Einen eigenen VPN Server benutzen ist wegen der dynamisch zugewiesenen Präfixe auch problematisch. DynDNS/IPv6 geht mit der Fritte ja auch nicht weil sie die Präfixe nicht übermittelt. So weit so nicht gut.

Ich mache jetzt folgendes:

Ich versuche einen eigenen VPN Server mit RasPi auf IPv6 aufzusetzen. PYUR scheint die Präfixe nur sehr selten zu wechseln. (Bei mir seit Aktivierung von IPv6 noch nicht).
Um einen Wechsel mitzubekommen lasse ich mir täglich per Push Message den aktuellen Präfix von der Fritte mitteilen. Dann passe ich im VPN Client die IP Adresse des VPN Servers manuell an.

[Kasimir]

warum lässt du nicht einfach einen ddns client auf dem vpn-server laufen? oder ist mir was entgangen?

[berndione]

Im Prinzip hast du recht.
Aber ich komme vom Beruf her mehr aus der Hardware Entwicklung und der Mess - und Regeltechnik. Meine Softwarewerkzeuge waren eher Systeme zur Leiterplattenentflechtung und LabView. Linux und C++ sind mir natürlich auch bekannt aber nicht meine Spezialstrecke.
Deshalb erst einmal den VPN mit dem RasPi. Dann das Ganze mit IPv6 und dann einen DynDNS Client.
Ob ich das überhaupt hinbekomme werde ich sehen.

[oschn]

Oder du nutzt MyFritz, um immer die korrekte Adresse deines VPN-Servers zur Verfügung zu haben.

[berndione]

Geht auch. Müsste ich aber auch händisch eintragen.

[oschn]

Aber doch nur einmal?

Und unterstützend könntest du dir dann mit einem CNAME-Eintrag auf deine MyFritz-Adresse bei irgendeinem Anbieter für kostenlose Domains (mein Favorit: eu.org, DNS bei cloudns.net; oder ohne Domain einfach einen CNAME-Eintrag bei dynv6.com registrieren) auch eine leichter merkbare Adresse zulegen.

Edit: ich habe aber eine Befürchtung: wenn die FritzBox an einem Dual-Stack-Anschluss hängt (also ohne DSLite), dann könnte ich mir vorstellen, dass die Box für myFritz die IPv4-Adresse bevorzugt. Keine Ahnung, ob die myFritz-Adressen sowohl A-, als auch AAAA-Einträge gleichzeitig haben können.

Edit2: Meine Befürchtung scheint unbegründet. @ThomasSchaefer hat das ganze bereits mit einer Synology DiskStation bebildet dargestellt (inkl. OpenVPN!):
http://www.thomas--schaefer.de/openvpn% ... fritz.html

[berndione]

Jedes mal, wenn sich der Präfix ändert, muss ich die neue Adresse des VPN Servers im Client ändern, oder ? Im Moment schickt mir die Fritte einmal täglich eine e-mail mit den aktuellen IP Adressen. Da ich mir meine e-mails sowieso täglich ansehe ist das gut machbar.

Wenn ich mit MyFritz auf die Fritte zugreife dann sagt sie mir sofort dass sie keine Public IPv4 Adresse hat und leitet den Zugriff auf die IPv6 Adresse um. Die kryptische Frittenadresse braucht man nicht, da man über myfritz.net zugreifen kann.

Den OpenVPN Server habe ich auch schon mal auf meiner DS216 installiert. Allerdings gibt es dann einen ziemlichen Leistungseinbruch. Da braucht man dann eine DS mit dickeren Prozessor und mehr RAM.

[oschn]

Wenn sich das Präfix ändert, bekommt die FritzBox das doch aber mit? Sonst würden die Geräte ja alle ihre IPv6-Konnektivität verlieren, denn die FritzBox muss denen ja neue Adressen zuteilen. Dementsprechend kann die FritzBox dann auch gleich das MyFritz-Update durchführen. Und da zeigt die Adresse dann eben direkt auf die Geräte in deinem Netz mit dem richtigen Präfix. Lies dir den Guide auf Thomas' Seite mal durch.

Was ist denn der Unterschied zwischen "kryptischer Frittenadresse" und "MyFritz"? Ich dachte, die kryptische Frittenadresse IST die MyFritz-Adresse?

[berndione]

Auf meine Geräte kann ich zugreifen. Da ist alles klar. Aber ich will ja eigentlich ein VPN einrichten. Die Fritte unterstützt aber nur VPN/IPv4. VPN mit IPv6 und MyFritz gehen nicht.

So sieht die Box Adresse aus:

https://ofrge5x*****nvt8.myfritz.net:43846

Damit kann ich sie direkt von aussen erreichen.

Oder ich nutze den Zugang über myfritz.net. Damit komme ich auch zur Box. Das lässt sich besser merken. Die Adresse ist natürlich die selbe.

[Kasimir]

Der rapsi hat den höheren Durchsatz als die ds? O.o

Die ds hätte aber schon einen ddns mit ipv6 und einen VPN Server.... (Und letscypt)

[berndione]

Der RasPI muss aber nichts weiter machen als VPN. Synology weist auch darauf hin, dass es bei Nutzung des OpenVPN Servers zu Leistungseinschränkungen kommen kann.
Der Vorteil wäre natürlich, dass ich dann schon was fertiges habe.

Ds216SE: Marvel Dualcore Prozessor 800MhZ, 256MB Systemram
RasPI 3: ARM Quadcore Prozessor 1,2GHz, 1GB Systemram

[oschn]

Hm. Ich hätte jetzt den VPN-Server auf dem RasPi laufen lassen, und MyFritz für DDNS. Aber du könntest natürlich dann auch gleich DDNS auf dem RasPi laufen lassen.

[berndione]

DynDNS IPv4 läuft ja auf dem Raspi. Ermittelt denn die DS die aktuelle Public IP aktiv? Beim Raspi kann man das Intervall einstellen.
Bei IPv4 bekommt nichts den Wechsel der Public IP mit, weil sich die CGN IP in der Fritte nicht ändert.
Bei IPv6 müsste die DS den Präfixwechsel mitbekommen.
Ein weitere Nachteil ist es, dass sowohl DynDNS als auch OpenVPN auf der DS den Sleepmodus verhindern (was ja uch logisch ist).

[Kasimir]

du kannst ja den synology service nehmen, meine 2 ds gehen auch ganz normal schlafen... was das cgnat, das kann ich nicht testen...

[berndione]

Und du hast den VPN Server auf einer der beiden zu laufen ?

Ich habe ja noch etwas Zeit. Ich will mobil zugreifen. Ich habe aber bis Juli noch einen Vodafone Vertrag und die Pappnasen bekommen ja IPv6 nicht zum Laufen. Nur die Telekom unterstützt IPv6.

[Kasimir]

ja...
allerdings ist meine eine 4bay... also ein wenig kräftiger
DS412+
INTEL Atom D2700 dualcore 2.13 GHz, 4096 MB

[oschn]

Lass halt den VPN auf dem RasPi laufen?

[berndione]

Ja, habe ich vor.