thewayoflove
Anmeldungsdatum: 7. September 2020
Beiträge: 30
|
Hallo Hallo, an meine Connectbox habe ich meinen Raspberry Pi angeschlossen um so einen geplanten VPN Zugang per dyndns im Netzwerk einzurichten, d.h. per Portweiterleitung soll die Anfrage dann vom Router aus an den Dienst auf dem Raspberry Pi 4 weitergeleitet werden. Allerdings habe ich Bedenken ob das technisch überhaupt geht, denn: 1) Mit folgenden Programmen auf dem Raspberry Pi ist das geplant:
- VPN Dienst: PiVPN
- DynDNS Abfrage: DDClient, IP Abfrage per webinterface, da mein Router kein DynDNS unterstützt 2) Connectbox hat KEINE IPv4 Portweiterleitung, aber eine IPv6 Portweiterleitung 3) Meine öffentliche IP ist eine ipv4 ( keine ipv6, steht jedenfalls auf www.wieistmeineip.de, in der connectbox steht nichts dazu ) Ist mein Schluss damit richtig, dass mein Vorhaben nicht funktionieren kann, da Eine VPN-Anfrage aus dem Internet nur bis zum Router gelangt und ab da nicht weitergeleitet werden kann? Oder geht es evtl. so, dass ich die Anfrage bis zum Routrt ( wäre ipv4 ) an eine ipv6 Adresse weiterleite? Öffentliche Adresse ipv4 → Router Portweiterleitung nur ipv6 auf ipv6 → Raspberry Pi mit ipv4 und ipv6 Erreichbarkeit Danke für eure Meinungen, twol
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17651
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Zeige bitte ip a
Bei CG-NAT kannst du per IPv4 nicht in dein Netz, aber per IPv6 geht das.
DynDNS kannst du daher nur für IPv6 nutzen. Je nach Dienst könnte man aber einen Proxy einrichten, der sowohl IPv4 als auch IPv6 kann (z.B. bei einem Serververmieter).
Alternativ ein VPN aufbauen zwischen dem Server und dem Raspi. Ich würde das aber einfach mit IPv6 umsetzen.
|
thewayoflove
(Themenstarter)
Anmeldungsdatum: 7. September 2020
Beiträge: 30
|
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24 | 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc noqueue state UNKNOWN group default qlen 1000
link/loopback 00:00:00:00:00:00 brd 00:00:00:00:00:00
inet 127.0.0.1/8 scope host lo
valid_lft forever preferred_lft forever
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qdisc mq state UP group default qlen 1000
link/ether dc:a6:32:7f:1c:89 brd ff:ff:ff:ff:ff:ff
inet 192.168.0.3/24 brd 192.168.0.255 scope global dynamic noprefixroute eth0
valid_lft 1826sec preferred_lft 1826sec
inet6 2a02:8071:b5bc:c500:c3a2:37b2:afd0:bb68/128 scope global dynamic noprefixroute
valid_lft 163833sec preferred_lft 77433sec
inet6 2a02:8071:b5bc:c500:56cc:e5dc:67e4:79d0/64 scope global dynamic mngtmpaddr noprefixroute
valid_lft 168257sec preferred_lft 81857sec
inet6 fe80::dea6:32ff:fe7f:1c89/64 scope link noprefixroute
valid_lft forever preferred_lft forever
3: wlan0: <BROADCAST,MULTICAST> mtu 1500 qdisc noop state DOWN group default qlen 1000
link/ether dc:a6:32:7f:1c:8b brd ff:ff:ff:ff:ff:ff
4: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qdisc fq_codel state UNKNOWN group default qlen 100
link/none
inet 10.8.0.1/24 brd 10.8.0.255 scope global tun0
valid_lft forever preferred_lft forever
inet6 fe80::82f4:8f7d:f833:f3b8/64 scope link stable-privacy
valid_lft forever preferred_lft forever
|
Meine Grundidee dabei ist, so lokal wie möglich zu bleiben und open source einzusetzen. Einen Proxy / Server würde ich daher ungern nehmen, da ich genau das nicht möchte. //edit 15:59: test
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17651
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Meine Grundidee dabei ist, so lokal wie möglich zu bleiben und open source einzusetzen. Einen Proxy / Server würde ich daher ungern nehmen, da ich genau das nicht möchte.
Dann geht nur IPv6.
Oder du benötigst einen Tunnel oder sowas, dann aber auch wieder einen Tunnananbieter usw. Frage doch mal den Provider, ob der dir echtes DualStack geben kann (IPv6 bleibt wie es ist und du bekommst eine öffentliche IPv4-Adresse).
|
thewayoflove
(Themenstarter)
Anmeldungsdatum: 7. September 2020
Beiträge: 30
|
Da mein Internetzugang ein "Super-Billig-ohne-jeden-Service-Tarif" ist, lässt sich Providermäßig leider nichts machen.
Wenn ich das richtig Verstanden habe, siehst du das folgendermaßen: 1) Öffentliche ipv4 Adresse ist mit der Portweiterleitung im Router ( ipv6 ) nicht kompatibel 2) Öhne öffentliche ipv6 Adresse lässt sich die ipv6 Portweiterleitung nicht nutzen 3) Ein alternativer Zugang ins System, der meinen Router umgeht. Das müsste also ein Dienst sein ( externer Server ) auf dem ich mich vom Raspberry aus einlogge, oder wie war das gedacht? Kannst du mir da ggf. ein paar Namen nennen? Werde mich aber auch selbst nach kostenlosen VPN-Servern etc. umsehen twol
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17651
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Dein PC hat eine öffentliche IPv6-Adresse und ist darüber aus dem Internet erreichbar.
Portweiterleitung benötigt es nur bei NAT und das wird bei IPv6 erfreulicherweise nicht betrieben. Da ist aber wahrscheinlich eine SPI-Firewall aktiv, in der eine Ausnahme gemacht werden muss. Öffentliche ipv4 Adresse ist mit der Portweiterleitung im Router ( ipv6 ) nicht kompatibel
IPv6 und IPv4 sind zueinander erstmal nicht kompatibel.
|
thewayoflove
(Themenstarter)
Anmeldungsdatum: 7. September 2020
Beiträge: 30
|
Ahso, d.h. ich erreiche meinen Raspberry Pi über seine öffentliche IP Adresse immer ( sofern der angesprochene Port im Router dazu freigegeben ist? ). Cool, dann habe ich es nun glaube ich verstanden
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17651
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
thewayoflove schrieb: Ahso, d.h. ich erreiche meinen Raspberry Pi über seine öffentlich IP Adresse immer sofern der angesprochene Port dazu freigegeben ist? Cool, dann habe ich es nun glaube ich verstanden
Ja, sofern die Ausnahme in der FW eingerichtet ist oder die FW deaktiviert wurde. Die Frage ist, wie diese Regel eingerichtet wird und ob dein Präfix sich ändert, dann wäre das eventuell eklig, da sich die Adresse dann in gewissen Zeitabständen ändert und man die FW-Regel anpassen muss.
Dazu kommen noch die IPv6 Privacy Extensions, ich würde da EUI64 nutzen, damit der zumindest den Host-Teil immer gleich hat und sich nur der Präfix ändert.
|
micneu
Anmeldungsdatum: 19. Januar 2021
Beiträge: 217
|
Also bei Steinen Vorhaben solltest du schon die grundlegenden netzwerkkenntnisse haben.
Gehe mal auf Seiten wie „wieistmeineip“
Dann solltest du ja sehen ob es eine cgn ist oder nicht. Zusätzlich in deinen Vertrag schauen ob du Dual-Stack hast .
Keine Ahnung was diese pivpn ist aber schreibe doch mal bitte:
- wie ist deine Bandbreite down/up
- was für ein Router (für Einsteiger empfehle ich gerne FRITZ!Boxen)
- bitte einen grafischen netzwerkplan
- was ist genau dein ZIEL?
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17651
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
Der IPv6-Adresse nach ist das Vodafone/Unitymedia/KabelBW. Die bieten Privatkunden seit mehreren Jahren standardmäßig CG-NAT.
Connectbox sind deren schrottige Modemrouter.
Eine Kabelfritte kann man da einsetzen, die müssen die aktivieren, bringt einen aber nicht weiter, da CG-NAT weiterhin vorhanden ist. Somit geht auch da nur IPv6.
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13931
|
DJKUhpisse schrieb: ..., bringt einen aber nicht weiter, da CG-NAT weiterhin vorhanden ist. Somit geht auch da nur IPv6.
BTW: Der TE hat DS-lite und nicht CG-NAT.
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17651
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
lubux schrieb: DJKUhpisse schrieb: ..., bringt einen aber nicht weiter, da CG-NAT weiterhin vorhanden ist. Somit geht auch da nur IPv6.
BTW: Der TE hat DS-lite und nicht CG-NAT.
Stimmt, ist aber im Ergebnis für das Vorhaben genau gleich.
|
thewayoflove
(Themenstarter)
Anmeldungsdatum: 7. September 2020
Beiträge: 30
|
Der Test von wieistmeineip.de liefert, dass ich normales Dual Stack habe: Ihre IPv4-Adresse lautet: xx.xx.xx.xx Ihre IPv6-Adresse lautet: xxxx:xxxx:.... Test IPv4: OK Test IPv6: OK Test Dual Stack: OK Sowohl auf meinem Windows PC als auch auf meinem Ubuntu Raspberry Pi. Der Router unterstützt jedoch NUR ipv6 Portweiterleitung, das kann aufgrund meines Dumping-Vertrages nicht freigeschaltet werden.micneu schrieb: Also bei Steinen Vorhaben solltest du schon die grundlegenden netzwerkkenntnisse haben.
- bitte einen grafischen netzwerkplan
- was ist genau dein ZIEL?
Im Anhang eine Schematik, in schwarz wie das System aufgebaut ist, in rot was ich einrichten möchte
- Bilder
|
DJKUhpisse
Supporter, Wikiteam
Anmeldungsdatum: 18. Oktober 2016
Beiträge: 17651
Wohnort: in deinem Browser, hier auf dem Bildschirm
|
ipv6 Portweiterleitung,
Glaube ich kaum, warum sollte da ohne NAT eine Portweiterleitung eingerichtet werden?
Du meinst eine Portfreigabe in der Firewall. Bei DS-Lite gibt es natürlich keine Portweiterleitung bei IPv4.
Ist da normal. Per IPv6 kannst du eine Verbindung direkt aufbauen, musst aber noch die FW-Regel einrichten.
|
micneu
Anmeldungsdatum: 19. Januar 2021
Beiträge: 217
|
thewayoflove schrieb: Der Router unterstützt jedoch NUR ipv6 Portweiterleitung, das kann aufgrund meines Dumping-Vertrages nicht freigeschaltet werden.
also wenn du wirklich dual-stack hast:
tausche deinen router gegen einen der recht gut läuft (fritzbox 7590) wenn ich dein bild richtig interpretiere willst du ein VPN für deine geräte wenn du unterwegs bist (so das du auf daten zuhause kommst) jetzt ist es wichtig das bei deinem tarif eine gute upload rate ist meine persönliche meinung (unter 40MBit) würde ich das sein lassen (das macht kein spaß) für eine Ordentliche VPN Performance solltest du mindestens einen RASPi 4 einsetzen entweder OpenVPN (ist finde ich sehr einfach zu konfigurieren und sollte in 10minuten installiert sein) oder Wireguard (für privat kann man es schon einsetzen, im geschäftlichen bereich würde ich es noch nicht einsetzen)
|