IPv4 oder IPv6 native (DS-Lite?)

  • Hallo,


    wir haben seit paar Tagen DG und nutze eine FB 7490.

    Wie schon oft hier beschrieben hängt mein FB-VPN / Wireguard will auch nicht verbinden von außen.

    Nach mehrfachem umstellen wird mir nicht klar, ob die DG jetzt IPv6 native / DS-lite oder was auch immer habe.

    Ein echte IPv4 scheint es für privat ja nicht zu geben.


    Im FB Online Monitor zeigt er mir:


    Internet, IPv4 : 100.116.19.xx

    Internet, IPv6 : IPv6-Adresse: 2a00:.....


    Wie kann ich testen was von DG angeboten wird. Laut Hotline angeblich beides ;(, was aber wohl nicht der Fall ist, sonst würde ja der VPN mit nativen IPv4 gehen!

  • IPv6 nativ (d.h. nicht getunnelt), eine öffentliche Adresse und ein öffentliches /56 Präfix.

    IPv4 nativ (d.h. nicht getunnelt) aber mit CGNAT, eine Adresse aus 100.64.0.0-100.127.255.255 (100.64.0.0/10).


    DS-Lite wäre ein Tunnel (IPv4 in IPv6 eingepackt) mit CGNAT. 6rd wäre eine Tunnel (IPv6 in IPv4 eingepackt). Die Tunnelprotokolle werden von der DG nicht bzw. nicht mehr eingesetzt.


    CGNAT heißt Carrier Grade NAT und bedeutet, dass die IPv4 Adresse im Netz des Providers auf eine "öffentliche" IPv4 Adresse umgesetzt wird, so wie es dein Router mit den Adressen im LAN macht. Ohne Portweiterleitungen, die man bei CGNAT i.d.R. nicht erstellen kann, ist die IPv4 Adresse nicht für Verbindungen von außen erreichbar. Verbindungen müssen "von innen nach außen" aufgebaut werden, also von einem Gerät an deinem Anschluss ins Internet.


    Das Fritzbox VPN unterstützt nur IPv4 und ist damit nur von innen nach außen möglich. Wireguard funktioniert mit IPv6 auch von außen nach innen, wenn beide Geräte IPv6-fähig sind und der Port in der Firewall entsprechend freigeschaltet wird.

  • Zunächst erstmal Danke für die Beschreibung!

    Liege ich dann richtig - mein DG-Anschluss ist IPv6 Nativ und nutzt CGNAT für IPv4?


    Primär nutze ich jedoch Wireguard, bis dato vom Handy (was aktuell nur IPv4 hat) oder Laptop via Hotspot.

    Was kostet eine feste IPv4 Adresse bei DG, lohnt es da zu fragen?


    Wundere mich das es nur so umständliche Lösungen wie Portmapper oderähnliches gibt?

    VPN nutzt doch heute jeder oder?!?!

  • Liege ich dann richtig - mein DG-Anschluss ist IPv6 Nativ und nutzt CGNAT für IPv4?

    Korrekt.

    Primär nutze ich jedoch Wireguard, bis dato vom Handy (was aktuell nur IPv4 hat)

    Überprüfe mal ob das noch so ist. Vor kurzem hat auch der letzte der drei Mobilfunknetzbetreiber in Deutschland IPv6 für seine Kunden ermöglicht, so das zumindest das Problem der Nichterreichbarkeit von IPv6-Adressen aus deutschen Mobilfunknetzen eigentlich vom Tisch sein sollte. (Problemtisch bleibt es wohl noch einige Jahre bei den vielen öffentlichen WLAN-Hotspots in Bus/Bahn/Flugzeug/Café/Campingplatz etc.)

    Was kostet eine feste IPv4 Adresse bei DG, lohnt es da zu fragen?

    Offiziell gibt es IPv4-Adressen nur für Geschäftskunden. (Inexio Business-Tarif mit "Preis auf Anfrage")
    Bastellösungen für Privatkunden findet man hier im Forum.

    VPN nutzt doch heute jeder oder?!?!

    Also "Jeder" definitiv nicht. Wenn man sich mal den durchschnittlichen Internet-Privatkunden ansieht ist da von Single- und Familienhaushalt über Seniorenwohnungen und kleinen Ladengeschäften alles dabei. Das die ALLE von außen auf ein Gerät im Heimnetzwerk zugreifen wollen, dazu noch via VPN, kann ich mir beim besten Willen nicht vorstellen ;-) Die meisten werden sich wohl weiterhin mit einer (IPv6) Portfreigabe begnügen, auch wenn die Verbindung via VPN natürlich deutlich sicherer ist.

  • mein DG-Anschluss ist IPv6 Nativ und nutzt CGNAT für IPv4?

    Und wenn Du in deiner FRITZ!Box nicht IPv6 deaktiviert hast, haben deine Geräte im Heimnetz (mindestens) eine IPv6 Adresse. Mindestens eine von diesen ist sogar prinzipiell von außen erreichbar. Lediglich die Firewall der FB muss den Zugriff erlauben. Portweiterleitungen der FB sind bei IPv6 gar nicht notwendig!

  • Hallo,


    vor ein paar Monaten hatten auch wir die Umstellung von Telekom-DSL mit IPv4 und IPv6 auf Deutsche Glasfaser mit IPv6.


    Mein bisheriger (gewohnter) regelmäßiger Zugang von außen in mein Heimnetz über VPN der Fritzbox (MyFritz) war somit leider nicht mehr möglich.

    Ich habe mittlerweile einem Raspberry Pi in meinem Heimnetzwerk Wireguard als als neue VPN-Lösung beigebracht. Von Unterwegs kann ich nun wieder im Heimnetzwerk Daten erreichen.


    Die Lösung hat für mich jedoch mehrere Nachteile.


    Erstens ist Wireguard auf dem Raspberry Pi nicht über längere Zeiträume stabil. Manchmal kommt eine neue Verbindung erst nach einem Restart des Wireguard-Servers auf dem RasPi zustande. Dies ist jedoch wiederum nicht von unterwegs möglich.


    Zweitens konnte ich vorher über freie WiFi-Hotspots (z.B. Fon, Gast-WLAN im Eis-Café) gratis das VPN nach Hause aufbauen. Leider habe ich bisher noch keinen IPv6 Hotspot gefunden. Über Mobilfunk würde es funktionieren, wäre jedoch nicht mehr gratis.


    Drittens könnte man über kostenpflichtige Dienstleister (FestIP) IPv4 Zugänge erhalten. Das ist es mir jedoch bisher nicht Wert.

  • Guten morgen,


    ich nutz auch Wireguard, der bit dato am Telekom IPv4 Anschluss 24/7 lief vom Handy ohne Probleme.

    sn0 - Guter Tip - man kann im APN ja auch IPv6 aktivieren! Das würde mich reichen.


    @Bracew

    Das heist du belässt die Einstellungen in Wireshark - Gibts es hier nen gutes Tutorial für IPv6 ( grad das /56 /72... erschließt sich mir noch nicht)

    - "Interface" im IPv4 Bereich

    - "Teilnehmer" setzt man den Endpunkt die IPv6 Adresse des Wireshark Servers?


    Meine Fritz!Box 7490 (7.27) hat Native IPv6 aktiviert. Bei der Portfreiigabe sehe ich jedoch nur die IPv4 Angaben und kann nicht auswählen (IPv4 oder IPv6 oder IPv4&IPv6).

  • Gibts es hier nen gutes Tutorial für IPv6

    Ich habe auf meine RasPi über PiVPN WireGuard installiert. PiVPN : "Supports OpenVPN 2.4" und "Supports WireGuard". Ich habe WireGuard gewählt.


    Mit einem Gemisch aus den Anleitungen:

    hat es bei mir funktioiniert.


    Bei der Portfreiigabe sehe ich jedoch nur die IPv4

    In der FB musst Du einen Port eines Gerätes hinter der Fritzbox auswählen. Da jedes Gerät mehrere IPv6-Adressen hat schlägt die Fritzbox die richtige vor, wenn vorher:


    die IPv6 Unterstütung aktiviert wurde.


    Ansonsten mal bei der Suchmaschine Deines Vertrauens suchen.


    P.S.: Auch hier im Forum mal suchen, z.B.: VPN an IPv6 der Deutschen Glasfaser

    Einmal editiert, zuletzt von Bracew () aus folgendem Grund: P.S. hinzugefügt

  • Also ich habe Wireshark nach der ersten Anleitung noch mal frisch installiert & verbindet auch wunderbar, sofern ich im eigenen WLAN bin mit dem Handy. Handy im LTE + IPv6 Adresse vom Provider > er verbindet nicht.


    Die Logik ist doch, das bei IPv6 Nutzung der Endpoint = IPv6 des Raspberry ist ( oder doch der FB selber)?

    Parallel dazu leite ich in der FB wie gewohnt den Port 51820 weiter den Raspberry.


    wg0.conf

    [Interface]

    Address = 172.16.100.1/24

    Address = 2a00:xxxx:ffff:ffff:100::1/72

    SaveConfig = true

    PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

    ListenPort = 51820

    PrivateKey = ....

    [Peer]

    PublicKey = ....

    PresharedKey = ....

    AllowedIPs = 172.16.100.0/24, 2a00:xxxx:ffff:ffff:100::/72


    Client

    [Interface]

    Address = 172.16.100.2/24, 2a00:xxxx:ffff:ffff:100::2/72

    PrivateKey = ....

    DNS = 172.16.100.1

    [Peer]

    PublicKey = ....

    PresharedKey = .....

    AllowedIPs = 0.0.0.0/0, ::/0

    Endpoint = [2a00:xxxx:xxxx:xxxx:xxxxx:xxxxx:xxxx:xxx]:51820

  • Die Logik ist doch, das bei IPv6 Nutzung der Endpoint = IPv6 des Raspberry ist ( oder doch der FB selber)?

    Richtig. Das machen viele falsch, aber genau so, wie du es beschreibst, ist es richtig. Die Adresse des Raspi muss angesprochen werden, bzw. bei einem dyndns Dienst eingetragen werden.


    Also ich habe Wireshark nach der ersten Anleitung noch mal frisch installiert

    Was genau machst du mit Wireshark? Aber wenn es es schon installiert hast: Jetzt ist es die richtige Gelegenheit, den Traffic auf dem VPN Server mitzuschneiden und mit Wireshark zu analysieren, was genau da ankommt, wenn du versuchst, dich über Mobilfunk zu verbinden.


    Address = 2a00:xxxx:ffff:ffff:100::1/72

    Warum ein /72 Subnetz? Alles außer /64 macht üblicherweise Ärger und man sollte sich sehr genau überlegen, was man tut, wenn man das ändert. Bei der DG kann ich mir kein Szenraio vorstellen, wo das Sinn macht:

    • Entweder möchte man sein Subnetz zu Hause über VPN verfügbar machen, dann sollte man das komplette /64 Netz freigeben
    • Oder man möchte den VPN Server ein dediziertes Netz für VPN Clients aufziehen lassen, aber dann sollte er per Prefix Delegation ein eigenes /64 Netz bekommen. Man hat bei der DG ja 256 davon, das sollte reichen.
    • Ein /72 im VPN Netz heißt entweder, dass man viele Hosts aus seinem Standard-Netz nicht erreicht, oder in anderen Bereichen des Netzes ebenfalls mit Sbunetting arbeite muss. Beides macht bei DG keinen Sinn - siehe oben.
  • Du findest dieses Forum hier toll und möchtest es unterstützen? Großartig! Hier zeigen wir dir eine Möglichkeit, wie du uns supporten kannst. Es kostet dich keinen Cent mehr und das Forum bleibt hiermit weiter werbefrei.

    Amazon Link

    Nutze diesen Button um bei Amazon einzukaufen. Das kostet dich keinen Cent mehr, jedoch bekommen wir eine kleine Provision.
    Bei Amazon einkaufen und das GF unterstützen
    Mehr Infos gibt es in diesem Thread
  • Richtig. Das machen viele falsch, aber genau so, wie du es beschreibst, ist es richtig. Die Adresse des Raspi muss angesprochen werden, bzw. bei einem dyndns Dienst eingetragen werden.


    Was genau machst du mit Wireshark? Aber wenn es es schon installiert hast: Jetzt ist es die richtige Gelegenheit, den Traffic auf dem VPN Server mitzuschneiden und mit Wireshark zu analysieren, was genau da ankommt, wenn du versuchst, dich über Mobilfunk zu verbinden.


    Warum ein /72 Subnetz? Alles außer /64 macht üblicherweise Ärger und man sollte sich sehr genau überlegen, was man tut, wenn man das ändert. Bei der DG kann ich mir kein Szenraio vorstellen, wo das Sinn macht:

    • Entweder möchte man sein Subnetz zu Hause über VPN verfügbar machen, dann sollte man das komplette /64 Netz freigeben
    • Oder man möchte den VPN Server ein dediziertes Netz für VPN Clients aufziehen lassen, aber dann sollte er per Prefix Delegation ein eigenes /64 Netz bekommen. Man hat bei der DG ja 256 davon, das sollte reichen.
    • Ein /72 im VPN Netz heißt entweder, dass man viele Hosts aus seinem Standard-Netz nicht erreicht, oder in anderen Bereichen des Netzes ebenfalls mit Sbunetting arbeite muss. Beides macht bei DG keinen Sinn - siehe oben.

    Sorry meinte Wireguard !


    Werde es mit /64 versuchen. Danke

  • Es ist übrigens nicht nötig, im Tunnel auch IPv6 zu nutzen, nur weil der Tunnel über IPv6 aufgebaut wird. Im Tunnel kannst du wie gewohnt IPv4 verwenden. Das macht es vielleicht einfacher. Außer dem Endpoint kannst du alle IPv6 Adressen weglassen.


    Wenn du im Tunnel IPv6 verwenden willst, musst du dich auch um die IPv6-Firewall, das IPv6-Routing und die Forwarding-Einstellungen für IPv6 auf dem RaspberryPi kümmern.

  • Wieso TCP? Arbeitet Wireguard wirklich mit TCP? Das wäre nicht gut ...


    Ist das wirklich so? Überprüfe das noch mal. Wenn das Zeug wirklich nur halb so gut ist, wie häufig behauptet wird, kann ich mir kaum vorstellen, dass es mit TCP arbeitet. UDP wäre für ein Tunnelprotokoll deutlich besser geeignet.

  • Ich hatte befürchtet das mir die FB hier nen Streich spielt.

    Trotz Aktivierung von IPv6 - kommt die Option garnicht(also Auswahl IPv4 vs IPv6, ....), das hatte mich schon stutzig gemacht aber dachte es ist bei älteren 7490 so....

    Sind sonst noch Fehler in den IPv6 config, das evtl etwas fehlt oder muss ich die FB evtl einfach neu aufsetzen?


    Sie Bild 1 - Freigabe

    Siehe Bilder 2-3 IP6 is active...


    Siehe Vergleich zu eurem Screenshot...


  • Du findest dieses Forum hier toll und möchtest es unterstützen? Großartig! Hier zeigen wir dir eine Möglichkeit, wie du uns supporten kannst. Es kostet dich keinen Cent mehr und das Forum bleibt hiermit weiter werbefrei.

    Amazon Link

    Nutze diesen Button um bei Amazon einzukaufen. Das kostet dich keinen Cent mehr, jedoch bekommen wir eine kleine Provision.
    Bei Amazon einkaufen und das GF unterstützen
    Mehr Infos gibt es in diesem Thread

Erstelle ein Benutzerkonto oder melde dich an um zu kommentieren

Du musst ein Benutzerkonto haben um einen Kommentar hinterlassen zu können

Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Geht einfach!
Neues Benutzerkonto erstellen
Anmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden