xXF4B1Xx
Anmeldungsdatum: 25. Januar 2014
Beiträge: 13
|
Fakten:
Was ich will:
(Für Vorschläge, wie ich Unitymedia doch noch dazu bewege mir eine Ipv4 zu geben bin ich stets offen! Horizon?! Brauch ich nicht, mir zu teuer! Business ebenfalls zu teuer. Was ich bereits gemacht habe:
Auf virtuellem Ubuntu 12.04 Server, OpenVPN installiert und konfiguriert. Virtuellem Server via /etc/network/interfaces eine statische IPv4 und IPv6 verpasst. Die IPv6 besteht dabei aus Präfix + MAC mit ..ff:fe.. in der Mitte. Also nach EUI-64 Standard. Laut ifconfig eine /64 Adresse. In der Fritzbox unter Heimnetz->Netzwerk->Netzwerkeinstellungen->IPv6-Adressen->DHCPv6-Server im Heimnetz auf "DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen" gesetzt. In der Fritzbox unter Heimnetz->Netzwerk->Netzwerkeinstellungen->DNS-Rebind-Schutz meine Domäne eingetragen. In der Fritzbox unter Internet->Freigaben->IPv6 meinen virtuellen Server mit dem hinteren Teil der IPv6-Adresse (halt der Interface-ID) eingetragen. Testweise Firewall komplett geöffnet. Mittels http://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-ping.php versucht den Server und Fritzbox zu pingen. Mittels http://www.subnetonline.com/pages/ipv6-network-tools/online-ipv6-tracepath.php versucht den Trace nach zu vollziehen.
Mein Problem:
▶ Ich weiß nicht was ich falsch gemacht habe bzw. mache oder noch machen muss damit der Server von extern erreichbar/pingbar ist! ☹ ☹
Bearbeitet von redknight: Hilferuf aus dem Titel entfernt und Formatorgie bereinigt. Kleiner typographischer Typ: Wenn Du mehr Hervorhebung als normalen Text hast, erfüllt die Hervorhebung ihren Zweck nicht mehr.
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
Zuerst die schlechte (gute) Nachricht: ifconfig ist tot, lang leben iproute2 und damit das Tool ip 😉 Auf dem Server der nicht geht, wie sieht es da mit der Ausgabe von folgendem Befehl aus:
ip -6 addr show
ip -6 route show mfg Stefan Betz
|
xXF4B1Xx
(Themenstarter)
Anmeldungsdatum: 25. Januar 2014
Beiträge: 13
|
encbladexp schrieb: Zuerst die schlechte (gute) Nachricht: ifconfig ist tot, lang leben iproute2 und damit das Tool ip 😉 Auf dem Server der nicht geht, wie sieht es da mit der Ausgabe von folgendem Befehl aus:
ip -6 addr show
ip -6 route show mfg Stefan Betz
ip -6 addr show:
1
2
3
4
5
6
7
8
9
10
11
12 |
1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000
inet6 xxxPräfixxxx:20c:29ff:fe57:xxxx/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::20c:29ff:fe57:xxxx/64 scope link
valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qlen 100
inet6 xxxPräfixxxx::1/64 scope global
valid_lft forever preferred_lft forever
|
ip -6 route show:
| xxxPräfixxxx::/64 dev eth0 proto kernel metric 256
xxxPräfixxxx::/64 dev tun0 proto kernel metric 256
fe80::/64 dev eth0 proto kernel metric 256
default via fe80::2665:11ff:fe17:xxxx dev eth0 metric 1024
|
EDIT: In der Fritzbox habe ich als Interface ID 20c:29ff:fe57:xxxx eingetragen!
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
Du kannst gerne ein paar Bytes XXen, aber doch nicht die halbe Adresse so das der komplette Bezug fehlt. Die fe80 sind übrigens Link-Local, da sehe ich bestenfalls deine Ethernetadresse drin. mfg Stefan Betz
|
xXF4B1Xx
(Themenstarter)
Anmeldungsdatum: 25. Januar 2014
Beiträge: 13
|
encbladexp schrieb: Du kannst gerne ein paar Bytes XXen, aber doch nicht die halbe Adresse so das der komplette Bezug fehlt. Die fe80 sind übrigens Link-Local, da sehe ich bestenfalls deine Ethernetadresse drin. mfg Stefan Betz
ip -6 addr show:
| 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000
inet6 2axx:90x:f3x1:37x0:20c:29ff:fe57:7x76/64 scope global
valid_lft forever preferred_lft forever
inet6 fe80::20c:29ff:fe57:7x67/64 scope link
valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qlen 100
inet6 2axx:90x:f3x1:37x0::1/64 scope global
valid_lft forever preferred_lft forever
|
ip -6 route show:
| 2axx:90x:f3x1:37x0::/64 dev eth0 proto kernel metric 256
2axx:90x:f3x1:37x0::/64 dev tun0 proto kernel metric 256
fe80::/64 dev eth0 proto kernel metric 256
default via fe80::2665:11ff:fe17:7x76 dev eth0 metric 1024
|
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
xXF4B1Xx schrieb: | 2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000
inet6 2axx:90x:f3x1:37x0:20c:29ff:fe57:7x76/64 scope global
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qlen 100
inet6 2axx:90x:f3x1:37x0::1/64 scope global
|
| 2axx:90x:f3x1:37x0::/64 dev eth0 proto kernel metric 256
2axx:90x:f3x1:37x0::/64 dev tun0 proto kernel metric 256
|
Du hast das gleiche Subnet auf 2 verschiedenen Interfaces liegen. In den Tunnel wird so nie was gehen, den eth0 ist in der Routingtabelle weiter oben für dieses Subnet. Möchtest du ggf. mal ne Übersicht mit dia mal, wo alle Netze drin sind und man den Aufbau mal sieht? mfg Stefan Betz
|
xXF4B1Xx
(Themenstarter)
Anmeldungsdatum: 25. Januar 2014
Beiträge: 13
|
encbladexp schrieb: Du hast das gleiche Subnet auf 2 verschiedenen Interfaces liegen. In den Tunnel wird so nie was gehen, den eth0 ist in der Routingtabelle weiter oben für dieses Subnet. Möchtest du ggf. mal ne Übersicht mit dia mal, wo alle Netze drin sind und man den Aufbau mal sieht? mfg Stefan Betz
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16 | # The loopback network interface
auto lo
iface lo inet loopback
# The primary network interface
auto eth0
iface eth0 inet static
address 192.168.178.xxx
netmask 255.255.255.0
gateway 192.168.178.1
iface eth0 inet6 static
pre-up modprobe ipv6
address 2axx:90x:f3x1:37x0:20c:29ff:fe57:7x76
netmask 64
gateway fe80::2665:11ff:fe17:8xx8
|
Mein Netzwerk besteht nur aus Fritzbox, Server und n paar Win-Rechnern etc.. Woher der tun0 kommt weiß ich ehrlich gesagt nicht. Habe daher die /etc/networking/interfaces mal reingetan
|
lubux
Anmeldungsdatum: 21. November 2012
Beiträge: 13938
|
xXF4B1Xx schrieb: .. Woher der tun0 kommt weiß ich ehrlich gesagt nicht.
Hm, ... tun0 kann auch von einer Software (... z. B. VPN-Software oder gleichwertig) generiert worden sein.
|
xXF4B1Xx
(Themenstarter)
Anmeldungsdatum: 25. Januar 2014
Beiträge: 13
|
xXF4B1Xx schrieb:
Was ich bereits gemacht habe:
Das erklärt es. Aber das hat doch an sich wenig damit zu tun, dass ich von außen den Server nicht pingen kann, oder?! in /etc/openvpn/server.conf
| #IPv6-Config
server-ipv6 2axx:90x:f3x1:37x0::/64
#tun-ipv6
#push tun-ipv6
#ifconfig-ipv6 2axx:90x:f3x1:37x0::1/64 2axx:90x:f3x1:37x0::0/64
#ifconfig-ipv6-pool 2axx:90x:f3x1:37x0::101/64
#push "route-ipv6 2axx:90x:f3x1:37x0::/64"
|
Habe diese Anleitung zu rate gehabt aber habe sie nicht genau verstanden.
https://community.openvpn.net/openvpn/wiki/IPv6 Was meinen die mit blocks? Frage ich mich bis jetzt. Ein Kumpel meinte ich soll erstmal dann halt alles bis auf server-ip6 ... ausklammern. Der OpenVPN würde den Rest automatisch machen. ABER...das hilft doch alles nix, da ich von extern ja nicht pingen kann. Erst wenn ich den Server von extern erreiche kann ich mich drumm kümmern, dass die VPN-Config richtig ist. Oder nicht?! o.Ô
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
Fang wir doch mal ganz langsam an, du hast eine IPv6-Only (mehr oder weniger) Internetanbindung. Und möchtest dich über einen OpenVPN Server bei dir einwählen daheim, der OpenVPN Server ist bzw. soll von extern via IPv6 erreichbar sein, richtig? Nicht das wir hier von vollkommen anderen Dingen reden. OpenVPN kann nämlich beides, einmal außen als Transport IPv6 nutzen, und einmal innen im Tunnel IPv6 bereit stellen. Beides sind getrennte Dinge die aber gemeinsam auch genutzt werden können. mfg Stefan Betz
|
xXF4B1Xx
(Themenstarter)
Anmeldungsdatum: 25. Januar 2014
Beiträge: 13
|
encbladexp schrieb: Fang wir doch mal ganz langsam an, du hast eine IPv6-Only (mehr oder weniger) Internetanbindung. Und möchtest dich über einen OpenVPN Server bei dir einwählen daheim, der OpenVPN Server ist bzw. soll von extern via IPv6 erreichbar sein, richtig? Nicht das wir hier von vollkommen anderen Dingen reden. OpenVPN kann nämlich beides, einmal außen als Transport IPv6 nutzen, und einmal innen im Tunnel IPv6 bereit stellen. Beides sind getrennte Dinge die aber gemeinsam auch genutzt werden können. mfg Stefan Betz
Gute Idee! ☺ Ja genau! Ich habe leider nur ne IPv6 mit dem "supertollen" DS-Lite!
Und Ja genau! Ihc möchte über den OpenVPN Server mich daheim einwählen!
Und nochmals Ja genau! 😉 Der Server soll von extern via über IPv6 erreichbar sein. Hatte daher so einen größeren Eröffnungspost geschrieben und gehofft ich schaffe mit den Fakten etc klarheit. Aber kein Ding! Lieber einmal nachgefragt als missverstanden.
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
Gut, dann machen wir das erstmal von Grund auf richtig. IPv6 wird normalerweise automatisch konfiguriert, d.h. du brauchst in der /etc/network/interfaces dafür nichts konfigurieren. Ein modprobe dafür ist übrigens auch sinnlos, das Modul ist seit Jahren als Standard geladen 😉 Kannst du mal einen Screenshot deiner IPv6 Einstellungen am DSL Router (Fritzbox) anzeigen? Denn, wenn es richtig konfiguriert ist verteilt die Fritzbox automatisch die erforderliche IPv6 Konfiguration an die Clients und wir müssen nur noch 1-2 Dinge an der Firewall freischalten. mfg Stefan Betz
|
xXF4B1Xx
(Themenstarter)
Anmeldungsdatum: 25. Januar 2014
Beiträge: 13
|
encbladexp schrieb: Gut, dann machen wir das erstmal von Grund auf richtig. IPv6 wird normalerweise automatisch konfiguriert, d.h. du brauchst in der /etc/network/interfaces dafür nichts konfigurieren. Ein modprobe dafür ist übrigens auch sinnlos, das Modul ist seit Jahren als Standard geladen 😉 Kannst du mal einen Screenshot deiner IPv6 Einstellungen am DSL Router (Fritzbox) anzeigen? Denn, wenn es richtig konfiguriert ist verteilt die Fritzbox automatisch die erforderliche IPv6 Konfiguration an die Clients und wir müssen nur noch 1-2 Dinge an der Firewall freischalten. mfg Stefan Betz
Was ich noch nicht ganz nachvollzogen habe: Der Präfix ist laut Fritzbox ...:f321:.../57 aber die Fritzbox hat ne IPv6 mit ...:f300:... an der gleichen Stelle. Für die autokonfiguration dann
?!
- Bilder
|
encbladexp
Ehemaliger
Anmeldungsdatum: 16. Februar 2007
Beiträge: 17449
|
xXF4B1Xx schrieb: Was ich noch nicht ganz nachvollzogen habe: Der Präfix ist laut Fritzbox ...:f321:.../57 aber die Fritzbox hat ne IPv6 mit ...:f300:... an der gleichen Stelle.
Das ist ganz einfach:
Man bekommt eine IPv6 Adresse mit der man ins Internet kann. Meist eine /64 Adresse. Man bekommt zusätzlich ein oder mehrere IPv6 Subnets welche man für die angeschlossenen Hosts verwenden kann. Meist ein /57 oder was kleineres als /64. Wird über die oben genannte IP geroutet.
Für die autokonfiguration dann
Ist nicht erforderlich, aber natürlich kann man auch DHCPv6 nutzen, braucht man aber vom Prinzip her bei IPv6 erstmal nicht da sich Interfaces automatisch eine Adresse über sog. Router Advertisments suchen. Die Router werden auch selbstständig gesucht. Es genügt also diesem Server eine IPv4 Adresse im LAN zu geben, auf magische weiß hat er dann wenn alles richtig ist auch eine automatisch zugewiesene v6 Adresse. Von den Einstellungen her sieht das an der Fritzbox eigentlich gut aus, theoretisch sollten all deine PCs hinter der Fritzbox eine IPv6 Adresse haben. mfg Stefan Betz
|
xXF4B1Xx
(Themenstarter)
Anmeldungsdatum: 25. Januar 2014
Beiträge: 13
|
encbladexp schrieb: Das ist ganz einfach:
Man bekommt eine IPv6 Adresse mit der man ins Internet kann. Meist eine /64 Adresse. Man bekommt zusätzlich ein oder mehrere IPv6 Subnets welche man für die angeschlossenen Hosts verwenden kann. Meist ein /57 oder was kleineres als /64. Wird über die oben genannte IP geroutet.
AH...k. Danke!
Ist nicht erforderlich, aber natürlich kann man auch DHCPv6 nutzen, braucht man aber vom Prinzip her bei IPv6 erstmal nicht da sich Interfaces automatisch eine Adresse über sog. Router Advertisments suchen. Die Router werden auch selbstständig gesucht. Es genügt also diesem Server eine IPv4 Adresse im LAN zu geben, auf magische weiß hat er dann wenn alles richtig ist auch eine automatisch zugewiesene v6 Adresse.
Hab alles zu IPv6 aus der /etc/networking/interfaces genommen und schnell neugestartet. ip -6 addr show:
1
2
3
4
5
6
7
8
9
10
11
12
13 | 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536
inet6 ::1/128 scope host
valid_lft forever preferred_lft forever
2: eth0: <BROADCAST,MULTICAST,UP,LOWER_UP> mtu 1500 qlen 1000
inet6 2axx:90x:f3x1:37x0:3da7:7e40:ax2f:fx07/64 scope global temporary dynamic
valid_lft 7152sec preferred_lft 3552sec
inet6 2axx:90x:f3x1:37x0:20c:29ff:fe57:7x67/64 scope global dynamic
valid_lft 7152sec preferred_lft 3552sec
inet6 fe80::20c:29ff:fe57:7x67/64 scope link
valid_lft forever preferred_lft forever
3: tun0: <POINTOPOINT,MULTICAST,NOARP,UP,LOWER_UP> mtu 1500 qlen 100
inet6 2axx:90x:f3x1:37x0::1/64 scope global
valid_lft forever preferred_lft forever
|
ip -6 route show:
| 2axx:90x:f3x1:37x0::/64 dev eth0 proto kernel metric 256 expires 6976sec
2axx:90x:f3x1:37x0::/64 dev tun0 proto kernel metric 256
fe80::/64 dev eth0 proto kernel metric 256
default via fe80::2665:11ff:fex7:8x38 dev eth0 proto ra metric 1024
|
Von den Einstellungen her sieht das an der Fritzbox eigentlich gut aus, theoretisch sollten all deine PCs hinter der Fritzbox eine IPv6 Adresse haben. mfg Stefan Betz
Ja war eigentlich auch der Meinung das es so passen müsste. Ja die restlichen PCs haben ne IPv6. Die ist aber nicht mit klarem MAC-Anteil weil Windows standardmäßig da doch die Anonymisierung vornimmt. (Oder?!)
|