Ich finde das für Ver- und Entschlüsselung auf so einer kleinen ARM Möhre schon recht fix. Aber wie gesagt, man kann sich ja was schnelleres gönnen gegen Überweisung entsprechender Euros.
How To für VPN mit Wireguard und VPS / Deutsche Glasfaser IPv6
-
-
Die test-ipv6 Geschichte ist natürlich endgerätespezifisch. IPv6 kann ja auch im Endgerät - oder sogar im Browser - deaktiviert werden.
Der NT hat keinen Einfluss auf VPN.
Ein Raspi ist eine sehr günstige und leistungsfähige Lösung, allerdings mit Handarbeit verbunden. Es gibt zahlreiche Alternativen, die schneller oder besser vorkonfiguriert sind. GL.iNet hat verschiedene Produkte im Portfolio in verschiedenen Leistungsklassen.
Zum Vergleich: Ich komme mit meinem Raspi auf 200 MBit/s Upstream und 250 MBit/s Downstream. In Upstream Richtung kann er meine Leitung voll auslasten, und in Downstream Richtung ist er sogar noch etwas schneller. Das reicht mir.
Ganz lieben Dank für die Infos. Dachte bisher Raspberry PI wäre die günstigste Lösung, allerdings muss man da halt selbst immer mal danach schauen und vermutlich auch Updaten wegen Sicherheitslücken etc.
Bei AVM gab es immer Updates vom Hersteller und das war natürlich "einfacher".Welches Gerät von GL.inet wäre den geeignet ? Meist nutzt man ja die Router von unterwegs um in ein VPN zu kommen z.B. NordVPN oder ins eigene VPN. Sprich ist eher ein Client wenn man das so nennen darf.
Bräuchte aber ja zu Hause einen VPN-"Server" den ich z.B. mit dem Handy kotaktieren möchte.
Kann das diese günstige 30€ Lösung ?
Dankeschön !!
-
Kann das diese günstige 30€ Lösung ?
VPN Server (Wireguard, OpenVPN) kann die sein, allerdings mit bescheidenen Bandbreiten. Steht ja in der Produktbeschreibung.
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
VPN Server (Wireguard, OpenVPN) kann die sein, allerdings mit bescheidenen Bandbreiten. Steht ja in der Produktbeschreibung.
Glaube das ist für mich die perfekte Lösung. Geht bei mir vorerst nur mal darum von außen überhaupt an eine IP Kamera und Daten auf der Fritz.NAS zu kommen. Daher kein großer Anspruch an Geschwindigkeit. Update gibt es hier ja vermutlich auch vom Hersteller, daher ist die Lösung wohl auch recht wartungsarm.
In der Zukunft kann ich ja auf ein AVM Update für IPv6 VPN hoffen oder kaufe mir dann mal ein Raspberry PI 4 und installiere da zusätzlich zu OpenVPN auch AdGuard und ähnliches. Gibt da ja tolle Lösungen, allerdings habe ich aktuell noch keine Zeit und Lust mich damit zu beschäftigen. Daher vorerst eine fertige wartungsarme Lösung für nur 30 Euro.Danke für den Tipp !
-
Habe mir den Shadow (GL-AR300M Series) mal bestellt.
Dachte bisher, dass ich gute Grundkenntnisse für Netzwerke habe und den Rest hat die Fritzbox (7590) gemacht.
Mit der Deutschen Glasfaser statt Telekom und einem reinen IPv6 Anschluss (und nur "virtuellem IPv4") fangen die Probleme nun richtig an.
Habe das gefühl, dass ich der einige Mensch bin, der gerne weiterhin VPN von außen über Handy und Co nutzen möchte um ins Heimnetzwerk zu kommen.
Ich habe mal meine ganze wesentliche Konfiguration als Screenshots angehängt.
Ich vermute, dass ich in der Fritzbox alles richtig eingestellt habe. Einzige Punkte die falsche sein könnten:
Internet->Zugangsdaten-> "IPv6 Unterstützung aktiv" + "Native IPv4-Anbindung verwenden" (Empfehlung gemäß Deutsche Glasfaser)
Eventuell statt "Native IPv4-Anbindung verwenden" hätte ich normal eher folgende Einstellung dort gewählt:
"Native IPv6-Anbindung verwenden
Ihr Internetanbieter muss für diese Betriebsart natives IPv6 an Ihrem Anschluss unterstützen.
IPv4-Anbindung über DS-Lite herstellenAFTR-Adresse automatisch über DHCPv6 ermitteln"
(1) Kann man hier schon Fehler machen ?
Heimnetzwerk->Netzwerk->Netzwerkeinstellungen->IPv6-Einstellungen
Hatte in einem anderen Forum gelesen man sollte folgende wählen:
"DNS-Server und IPv6-Präfix (IA_PD) zuweisen FRITZ!Box wird als DNS-Server via DHCPv6 bekannt gegeben. Teile des vom Internetanbieter zugewiesenen IPv6-Netzes werden an nachgelagerte Router weitergeben."
(2) Korrekt mit diesem IA_PD Präfix ?
Internet -> Freigabe -> Gerät für Freigabe hinzufügen
Dort habe ich den Port 51820 für den GL.iNet Router freigegeben inkl.
PING6 freigeben.
Firewall für delegierte IPv6-Präfixe dieses Gerätes öffnen.
(3) Korrekt die Portfreigabe?Im GL.iNet Router folgendes Einstellt:
Mehr Einstellungen -> IPv6 -> "wan"+"NAT6"
Anwendungen -> Fernzugriff -> "Aktiviere DDNS"
VPN -> WireGuard-Server -> "Starten"
VPN -> WireGuard-Server -> Management -> Clients angelegt + Android App mit Config als Client zum Testen erstellt.
(4) Einstellungen GL.iNet korrekt ?
Was mich stutzig macht ist der DDNS Test, der mir eine IPv4 mit Warnung anzeigt. Klappt hier IPv6 VPN nicht korrekt? Muss ich etwas ändern ?
Muss ich etwas an der Wireguard IP Adresse ändern, da diese Manuell vorgegeben werden kann ?
Hinweis am Rande, Notebook hinter 7590 hinter GL.iNet beim Aufrufen von https://www.testipv6.com/:
10/10 für Ihre IPv6-Stabilität und -Bereitschaft, wenn Inhalte nur via IPv6 verfügbar sind
Dankeschön !!
-
Ich hänge mich hier mal dran, ein openWRT läuft schon auf einer Fritzbox 7412 und Wireguard funktioniert (über IPv4). Weil die DG hier ausbaut soll es aber Zugriff nur über IPv6 geben, ich teste und probiere schon 3 Tage lang, es will mir nicht gelingen.
Es gibt eine Anleitung für den Raspberry ( https://blog.helmutkarger.de/raspberry-pi-v…vpn-unter-ipv6/ ), damit klappte das bei mir mit openVPN auf Anhieb. Leider ist das Protokoll für meine Wünsche (Videostream vom Sat-Receiver) zu langsam und mit Wireguard, wo der Speed reicht, bekomme ich es nur über IPv4 hin. Im Tunnel selber reicht mir auch vorerst IPv4, viele meiner Heimnetzgeräte, auf die ich zugreifen will, unterstützen gar kein IPv6.
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
(1) Kann man hier schon Fehler machen ?
Es ist so jedenfalls richtig. Nativ v4 oder Nativ v6 ist dabei am Ende mehr oder weniger egal.
(2) Korrekt mit diesem IA_PD Präfix ?
Die Frage ist, ob du das brauchst. Soll der VPN Router IPv6 Adressen verteilen? Ich wüsste nicht, warum.
Mehr Einstellungen -> IPv6 -> "wan"+"NAT6"
NAT6 brauchen wir vermutlich auch nicht.
Was mich stutzig macht ist der DDNS Test, der mir eine IPv4 mit Warnung anzeigt. Klappt hier IPv6 VPN nicht korrekt? Muss ich etwas ändern ?
Es muss sichergestellt sein, dass das Gerät über IPv6 auffindbar ist. Checke also mal anhand von Domain Aufrufen, ob da eine IPv6 Adresse zurückgegeben wird. Die IPv4 Adresse sollte aus dem Eintrag verschwinden.
Mich stört im Moment noch der grundsätzliche Aufbau. Du hast das im Moment so angelegt, dass das GL-AR300M quasi wie ein (NAT-)Router funktioniert. Die VPN Clients hängen am LAN Port, und er hat einen WAN Port zum Internet. Das brauchen wir ja eigentlich nicht. Das Ding soll ja nur Gateway ins VPN Netz sein und Zugriff auf dein LAN ermöglichen. Sprich LAN und WAN Port sind eigentlich eins. Meines Erachtens sollte das gehen.
-
Hallo frank_m,
danke für dein Feedback. Ich finde den Router schon pfiffig und eine tolle Lösung.
Ich gehe davon aus, dass bei mir etwas nicht stimmt (Konfig-Problem) oder der Router bei IPv6 etwas Probleme hat.
Habe irgendwie an allen Parameter kreuz und quer gespielt weil es nicht ging...
Portfreigabe 51820 ist nötig. IPv4 + IPv6. OK
Hatte das gefühl, dass DDNS nur mit IPv4 läuft und die IPv4 ist ja bei DG nicht öffentlich.
Somit findet vermutlich der VPN Client (Android über Handynetz) gar nicht die öffentliche IPv6 Adresse.
Wenn ich von außen die https://xxxx.glddns.com aufrrufe, komme ich nicht durch zum Webinterface des Mini-Routers.
Habe daher versucht den Mini-Router auf IPv6 umzustellen und irgendwie generell IPv6 Adresse zu erzwingen. Glaube das ist aber mangels Wissen eher nach hinten los gegangen.
Möchte eigentlich die 7590 wegen DECT Telefon, NAS usw. weiterhin als Standard-Router mit Gigabit einsetzen.
Der Mini-Router hinter der 7590 quasi wie ein RaspberryPI nur für VPN, der aber dann den VPN Client von außen ermöglicht mit allen Geräten in Netzwerk zu kommunizieren.
Was ändern ?
(1) IPv6 im Mini-Router wieder ausschalten - komplett oder auf IPv6 nativ?
(2) IA_PD Präfix in der Fritzbox wieder ausschalten und auf Standard "Nur DNS-Server zuweisen - FRITZ!Box wird als DNS-Server via DHCPv6 bekannt gegeben."
(3) Einen anderen DDNS wie den voreingestellten kann man nicht nutzen oder ?
(4) Der Mini-Router kann VPN nur über die "WAN-Schnittstelle" oder ? Frage nur weil ich mit dem LAN/WAN nicht ganz durchblicke was du meinst...
Habe aktuell nur 1 Kabel von der 7590 LAN zu Mini-Router WAN. Mini-Router LAN ist unbelegt. (Fehler?)
(5) Beim DDNS Test der Box kommt folgende Meldung "Ihre DDNS wird aufgelöst als 94.xx.99.249 Dieser Router steht jedoch hinter NAT oder Sie haben keine öffentliche IP-Adresse." Ist auch die IP die ich bei wieistmeineip.de angezeigt bekomme. Die ist aber nicht öffentlich und somit nicht für VPN geeignet oder ?
Zitat Mini-Router unter DDNS: "Hinweis: Sie müssen eine öffentliche Internet IP-Adresse zur Nutzung von Dynamisches DNS haben."
Habe ich für IPv4 ja nicht, sondern nur für IPv6 oder ?(6) oder geht das alles nur, wenn der Mini-Router zwischen NT und 7590 hängt und alles an Daten über den Mini-Router läuft ?
Sprich erstes Gerät und alle Netzwerkgeräte auf die ich zugreifen möchte an LAN statt WAN des Mini-Routers ?!(7) oder besser OpenVPN statt Wireguard testen. Vermute es liegt aber an der Verbindung, sprich IPv6 bzw. DDNS.
Wenn es am Ende nicht geht, ist es so. Will aber noch nicht aufgeben und hoffe auf ein paar Tipps.
Dankeschön !
-
Hi,
ganz kurz erst mal, IMHO, wenn ich es mit meinem Setup vergleiche:
zu 6: Nein nicht notwendig, passt schon. Habe das auch so am laufen, aber einen Raspberry stattdessenzu 7: Wireguard ist schon ok und funktioniert auch.
Bzgl DNS: Es MUSS schon eine IPv6 zurück kommen wenn du im Internet an einem IPv6 fähigen Gerät, z.B Handy via LTE, den DNS-Namen auflöst und den Namen in der VPN-Config auf dem Client verwendest.
IPv4 Freigabe ist nicht notwendig.
CiaGerade wenig Zeit, sorry
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
Der Mini-Router hinter der 7590 quasi wie ein RaspberryPI nur für VPN
Genau das ist das Ziel.
(1) IPv6 im Mini-Router wieder ausschalten - komplett oder auf IPv6 nativ?
Komplett ausschalten nicht. Der VPN Server muss ja über IPv6 erreichbar sein. Nur NAT6 brauchen wir nicht.
(2) IA_PD Präfix in der Fritzbox wieder ausschalten und auf Standard "Nur DNS-Server zuweisen - FRITZ!Box wird als DNS-Server via DHCPv6 bekannt gegeben."
Meines Erachtens reicht das.
(3) Einen anderen DDNS wie den voreingestellten kann man nicht nutzen oder ?
Dafür kenne ich das System zu wenig. Hat man Zugriff auf die Console? Dann lässt sich natürlich problemlos ein anderer dyndns Service verwenden. Was natürlich auch immer geht: Ein Dienst wie dynv6, der von der Fritzbox mit dem Prefix gefüttert wird, und in dem man dann Host Einträge generieren kann.
(4) Der Mini-Router kann VPN nur über die "WAN-Schnittstelle" oder ? Frage nur weil ich mit dem LAN/WAN nicht ganz durchblicke was du meinst...
Habe aktuell nur 1 Kabel von der 7590 LAN zu Mini-Router WAN. Mini-Router LAN ist unbelegt. (Fehler?)
Ich weiß nicht genau, wie der Router WAN und LAN trennt. Aber ich würde auch erwarten, dass man nur ein Interface braucht.
(7) oder besser OpenVPN statt Wireguard testen.
Wenn OpenVPN geht, geht auch Wireguard. Das ist dann nur eine Frage der Konfiguration.
-
Schon mal ganz lieben Dank, dass ihr so nachsichtig seid und mir trotz Laienfragen helft. Danke !
FritzBox 7590
-Port 1194 für OpenVPN und Port 51820 für Wireguard zur IPv4 und IPv6 des GL-AR300M freigegeben.
-Zugangsdaten -> IPv6 : IPv6-Unterstützung aktiv + IPv6-Anbindung: Native IPv4-Anbindung verwenden
- Heimnetzwerk -> Netzwerk -> Netzwerkeinstellungen -> IPv6 Einstellungen -> DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren: Nur DNS-Server zuweisen (ohne IPv6-Präfix)- 7590 LAN <-> GL-AR300M WAN mit Ethernet verbunden
- GL-AR300M über Fritzbox WLAN ansprechbar (Webinterface)
GL-AR300M
- Mehr Einstellungen -> IPv6 -> Native aktiviert
- Anwendungen -> Fernzugriff -> DDNS Test antwortet:
"Ihr DDNS wird aufgelöst als 94.xx.xx.249 Dieser Router steht jedoch hinter NAT oder Sie haben keine öffentliche IP-Adresse."
- Windows CMD Befehl: "nslookup xxx1234.glddns.com 8.8.8.8" gibt eine genau diese IPv4 zurück 94.xx.xx.249 (aber ist ja keine öffentliche IPv4 !)
- Luci OpenWrt Interface installiert
- Luci: "ddns-scripts" installiert (Dynamic DNS Client scripts (with IPv6 support - https://openwrt.org/docs/guide-user/services/ddns/client)
- Luci: "dnshome.de" registiert und bei Luci eingetragen mit IPv6 statt IPv4.
- Windows CMD Befehl: "nslookup xxx.dnshome.de 8.8.8.8" gibt eine IPv6 zurück
- IPv6 von nslookup 1:1 identisch mit jener die im GL.iNet Interface unter "Internet" steht. Nur hat die IP dort noch am Ende "/64" stehen. (?)
Somit sollte der DDNS Service über Luci nun die öffentliche IPv6 des GL-AR300M WAN rausgeben.
Wireguard Status (Server):
IP: 10.0.0.1
Port: 51820
IPv6-Adresse -nicht verfügbar- mit Hinweis "Der IPv6-Tunnel für VPN ist deaktiviert, wenn der native IPv6 Modus verwendet wird. Dies kann zu Datenlecks führen. Ändern Sie den IPv6-Modus und starten Sie den VPN-Server/Client neu."
Wireguard Management (Client):
Hier wird ein QR Code angezeigt den man super mit der Android App scannen kann und man hat dann direkt das VPN Profil in der App.
Im Klartext angezeigt steht da folgendes:
Code
Alles anzeigen[Interface] Address = 10.0.0.2/32 ListenPort = 22093 PrivateKey = xxx DNS = 64.6.64.6 [Peer] AllowedIPs = 0.0.0.0/0,::/0 Endpoint = xxx.xxx.xxx.xxx:51820 PersistentKeepalive = 25 PublicKey = xxxKeys etwas mit xxx unkenntlich gemacht. Wichtig aber bei Endpoint steht nicht der DDNS Server "xxx.glddns.com" sondern die aktuelle nicht öffentliche IPv4 was ja Käse ist. korrekt ?
Hatte versucht dort manuell den neuen IPv6 DDNS einzutragen mit "xxx.dnshome.de:51820" oder auch direkt mal die aktuelle öffentliche IPv6 mit "[IPv6]:51820". Leider klappt das auch nicht. Vielleicht stimmt dann der Key oder ähnliches nicht mehr überein wenn man da drin rumpfuscht.
Meine Vermutung:
- Der DDNS von GL-AR300M kann nur IPv4 Adresse, da diese nicht öffentlich ist, bring diese IP dem Client von außen aber nichts.
- Der dnshome.de Service kann IPv6 Adressen übermitteln. Diese ist vermutlich nötig damit der Client aus dem IPv6 Handynetz an den GL-AR300M kommt (korrekt ?)
- Das Konfig-File das Wireguard erzeugt hat die aktuelle IPV4 drin was meines Wissens nach Schwachsinn ist.
- Ersatzen der IPV4 im Wireguard Konfig-File scheint nicht möglich zu sein bzw. bringt immer noch keine Lösung.
Tests mit Android und der Wireguard App mit verschiedenen Konig-Files:
-aktuelle IPv4 nicht öffentlich - Protokoll sagt u.a. immer wieder
"peer(Snt9...xxjw) - Sending handshake initiation" + "Handskare did not complete after 5 seconds..."
Daten senden ja, Daten empfangen 0KB (nein)
- dnshome.de von Hand in Konfigfile eingetragen mit weiterhin Port 51820 sagt u.a. immer wieder
"peer(Snt9...xxjw) - Sending handshake initiation" (ohne did not complete)
-aktuelle IPv6 sollte öffentlich sein - Protokoll sagt u.a. immer wieder
"peer(Snt9...xxjw) - Sending handshake initiation" + "Handskare did not complete after 5 seconds..."
Meine Frage:
Bin absolut ratlos... Fritzbox sollte doch bei einer Anfrage an die IPv6 des GL-AR300M mit Port dabei die Anfrage durchleiten.
Oder darf ich nicht die IPv6 des Endgeräts (GL-AR300M) mit Port nutzen ? Vielleicht nur die Fritzbox IPv6 mit Port ?
Vermutlich darf man die Konfigfiles für Wireguard nicht von Hand einfach anpassen oder ?
Dankeschön !
-
Versuchen wir doch erst mal, auf das Gerät an sich zuzugreifen, um ddns und Portöffnungen zu testen. Du hast in der Konfig den https Fernzugriff aktiviert. Richte dafür eine entsprechende Portöffnung in der Fritzbox ein und versuche, vom Handy aus die Webseite der GL Box aufzurufen.
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
Update:
DDNS des GL-AR300M updated nur die IPv4 und leitet über xxx.glddns.com nicht auf das Webinterface trotz Portfreigabe der 7590.
Der DDNS von Luci sollte IPv6 beinhalten uns löst gemacht nslookup richtig auf die IPv6 des GL-AR300M auf. Mir ist aber nicht klar, ob man diese IPv6 dann einfach in einen Browser eingeben kann/darf und ob das dann auf das Webinterface weiterleitet. Klappt leider nicht nicht.
Über die Myfritz-URL (sinngemäß https://a5kjsufjak22xxxx.myfritz.net:443) komme ich nun zumindest von außen (Handynetz) auf das Webinterface des GL-AR300M.
Nun müsste ich nur diese URL in Wireguard hinterlegen. Darf man einfach so im dem Protokoll "rumpfuschen"?
Code
Alles anzeigen[Interface] Address = 10.0.0.2/32 ListenPort = xxx PrivateKey = xxx DNS = 64.6.64.6 [Peer] AllowedIPs = 0.0.0.0/0,::/0 Endpoint = 123.45.67.890:51820 PersistentKeepalive = 25 PublicKey = xxxDachte nun ich kann einfach "123.45.67.890:51820" durch "a5kjsufjak22xxxx.myfritz.net:51820" ersetzen.
Leider klappt das nicht. Eine Idee warum ?
Konsole (Putty) läuft übrigens auch, bekomme es aber auch im OpenWRT Umfeld nicht besser hin.
Danke !
-
Mir ist aber nicht klar, ob man diese IPv6 dann einfach in einen Browser eingeben kann/darf
Warum die IPv6? Einfach die URL mit dem ddns Hostnamen in den Browser eintippen. Der löst das dann schon auf.
Über die Myfritz-URL (sinngemäß https://a5kjsufjak22xxxx.myfritz.net:443) komme ich nun zumindest von außen (Handynetz) auf das Webinterface des GL-AR300M.
Das kann eigentlich nicht sein, denn myFritz löst die Adresse der Fritzbox auf, aber nicht die des GL-AR300M. Oder hast du da irgendwas besonderes gemacht?
-
Warum die IPv6? Einfach die URL mit dem ddns Hostnamen in den Browser eintippen. Der löst das dann schon auf.
Das kann eigentlich nicht sein, denn myFritz löst die Adresse der Fritzbox auf, aber nicht die des GL-AR300M. Oder hast du da irgendwas besonderes gemacht?
Habe in der Fritzbox den Port für HTTPS auf die des GL-AR300M freigegebn. Sprich Fritz-URL + :443 landet auf dem Webinterface des Mini-Routers.
Die DDNS des GL.iNet Interfaces übertragt nur die IPv4 - das scheint ja nicht zu klappen.
Der DDNS in Luci übertragt die IPv6, aber über die kommt man scheinbar nicht auf das Gerät. Wenn ich den ddns Hostname eintippe passiert nichts.
Nur die FritzBox-Adresse klappt, wenn ich den freigegebenen Port eingebe. Für Wireguard hätte ich nun "Fritz-URL:51820" angedacht. Klappt aber nicht das Wireguard Config von Hand zu ändern. Leider... Alles seltsam
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
Habe in der Fritzbox den Port für HTTPS auf die des GL-AR300M freigegebn. Sprich Fritz-URL + :443 landet auf dem Webinterface des Mini-Routers.
Das kann nur dann funktionieren, wenn du eine öffentliche IPv4 Adresse an deiner Fritzbox hast. Hast du? Weil dann brauchen wir den ganzen Aufwand nicht zu treiben.
Bei IPv6 darfst du nicht auf die Fritz-URL zugreifen. Bei IPv6 hat der Mini-Router seine eigene öffentliche IP Adresse. Bei IPv6 richtest du in der Fritzbox auch keine Portweiterleitung, sondern eine Portfreigabe ein. Das ist der gedankliche Fehler, den viele beim Umstieg von IPv4 auf IPv6 machen. Bei IPv6 ist der Ansatz ein komplett anderer. Man hat bei IPv6 nicht nur den einen Router, der eine öffentliche IP hat und alle Anfragen an seine Heimnetz-Clients weiterleitet, sondern jedes Gerät für sich hat eine öffentliche IP und wird direkt angesprochen. Deshalb muss auch jedes Gerät, dass von außen erreicht werden soll, seine eigene ddns Adresse haben. Die des Routers hilft nicht weiter.
Welche IPv6 Adresse liefert der Aufruf der myFritz Adresse zurück? Die der Fritzbox? Die des Mini Routers? Was ist die IPv4 Adresse deines Routers?
//Nachtrag: Oder hast du in deiner Fritzbox so eine komische myFritz Freigabe erzeugt und keine reguläre Portfreigabe? Dann kann das natürlich alles nicht funktionieren. -
Das kann nur dann funktionieren, wenn du eine öffentliche IPv4 Adresse an deiner Fritzbox hast. Hast du? Weil dann brauchen wir den ganzen Aufwand nicht zu treiben.
Bei IPv6 darfst du nicht auf die Fritz-URL zugreifen. Bei IPv6 hat der Mini-Router seine eigene öffentliche IP Adresse. Bei IPv6 richtest du in der Fritzbox auch keine Portweiterleitung, sondern eine Portfreigabe ein. Das ist der gedankliche Fehler, den viele beim Umstieg von IPv4 auf IPv6 machen. Bei IPv6 ist der Ansatz ein komplett anderer. Man hat bei IPv6 nicht nur den einen Router, der eine öffentliche IP hat und alle Anfragen an seine Heimnetz-Clients weiterleitet, sondern jedes Gerät für sich hat eine öffentliche IP und wird direkt angesprochen. Deshalb muss auch jedes Gerät, dass von außen erreicht werden soll, seine eigene ddns Adresse haben. Die des Routers hilft nicht weiter.
Welche IPv6 Adresse liefert der Aufruf der myFritz Adresse zurück? Die der Fritzbox? Die des Mini Routers? Was ist die IPv4 Adresse deines Routers?
//Nachtrag: Oder hast du in deiner Fritzbox so eine komische myFritz Freigabe erzeugt und keine reguläre Portfreigabe? Dann kann das natürlich alles nicht funktionieren.7590: Internet -> Freigaben -> Portfreigabe
GL-AR300M
Port-Freigaben zum Testen mit 51820 UDP + 443 HTTPS + 1194 UDP + 80 HTTPMyFritz Freigabe aktiv und daher habe ich so einen MyFritz Link der quasi ein DDNS für die Fritzbox ist.
Wenn ich den im Browser meines Handys eingebe, löst er ja die IPv6 der Fritzbox auf. Wenn ich dann aber sagt ich komme bei der Fritzbox-IP mit Port 443 (HTTPS) an, leitet die Fritzbox automatisch auf den Mini-Router weiter.
DDNS des Mini-Routers geht nur mit IPv4 und somit glaube ich bringt diese xxx.glddns.com gar nichts. Klappt zumindest nicht vom Handy trotz Portfreigabe in der Fritzbox.
DDNS im Luci löst wie gesagt gemäß nslookup richtig auf die IPv6 des Mini-Routers und der IPv4 der Fritzbox (Internet IPv4) auf.
Aber auch mit dieser Adresse xxx.dnshome.de geht es nicht.
Verstehe, dass die DDNS der richtige ansatz wäre und diese normal auf die IPv6 des Mini-Routers auflöst. Kommt direkt an der Fritzbox an und diese lässt durch den offenen Port den Zugriff auf den Mini-Router zu. Klappt aber nicht. Warum weiß ich nicht. Vielleicht irgendwelche Konfig-Fehler in der Fritzbox !?
myFritz DDNS liefert eine kurze IPv6 sollte von der Fritzbox sein. Da fehlt dieser Rest, der wohl das Endgerät (Mini-Router) beschreibt.
I
Edit:
über xxx.dnshome.de komme ich nach folgender (willkürlicher Test-Änderung) der 7590 nun auf der Luci Interface vom Handynetz aus.
Änderung: 7590: Heimnetzwerk -> Netzwerk -> Netzwerkeinstellungen -> IPV6 Einstellungen:
Unique Local Addresses (ULA) zuweisen, solange keine IPv6 Internetverbindung besteht (empfohlen) zu Unique Local Addresses (ULA) immer zuweisen
Außerdem aktiviert: "Auch IPv6-Präfixe zulassen, die andere IPv6-Router im Heimnetzwerk bekanntgeben"
Sinnvoll, korrekt oder irgendwie Zufall? Danke !
-
7590: Internet -> Freigaben -> Portfreigabe
Da kann man aber auch die myFritz Freigaben machen. Das sind dann keine regulären Portfreigaben.
Wenn du über die myFritz Freigabe auf deinen Mini-Router kommst, dann hast du entweder eine öffentliche IPv4 und greifst darüber zu, oder es ist eine myFritz Freigabe und keine Portfreigabe. In letzterem Fall wird ein Aufruf über die ddns Adresse des Mini Routers scheitern.
über xxx.dnshome.de komme ich nach folgender (willkürlicher Test-Änderung)
Du solltest aufhören, solche willkürlichen Teständerungen zu machen. Die beiden beschriebenen Einstellungen haben nichts mit einer Portfreigabe zu tun. Wenn du weiter so unkoordiniert die Einstellungen änderst, werden wir nie zu einem nachvollziehbaren und reproduzierbaren Verhalten kommen.
Unique Local Addresses (ULA) zuweisen, solange keine IPv6 Internetverbindung besteht (empfohlen) zu Unique Local Addresses (ULA) immer zuweisen
Das würde ich rückgängig machen.
Auch IPv6-Präfixe zulassen, die andere IPv6-Router im Heimnetzwerk bekanntgeben
Welche anderen IPv6 Router verteilen denn noch Präfixe bei dir im Netz?
-
Tipp: Jetzt kostenlos registrieren, mitmachen und das Forum ohne Werbebanner nutzen.
-
Ok, 7590 Einstellungen habe ich rückgängig gemacht.
Scheinbar läuft aber jetzt dieser xxx.dnshome.de korrekt.
Ich komme zumindest über diesen Hostname auf das OpenWrt Interface (Luci) - auch wenn nicht auf der org GL.iNet Interface.
Bedeutet aber ja, dass ich zumindest über die IPv6 von außen auf den Mini-Router bekomme.
Zumindest laut Text habe ich in der 7590 diverse Ports freigegeben und keine weiterleitungen eingerichtet.
MyFritz-DDNS Service läuft auch, nutze ich aber ja nicht - vermute da kommt sich auch nichts in die quere und der kenn weiter laufen oder ?
Vermute jetzt nur noch, dass ich ein korrektes Wireguard Config-File für mein Handy benötige.
Das aus dem original GL.iNet Interface erzeugt ja immer die feste IPv4 des Internetzugangs (Fritzbox) was keinen Sinn ergeben dürfte.
Ich bräuchte dort als Endpunkt-Name meiner Meinung nach den "xxx.dnshome.de" als Host. Korrekt ?
Da ich das Gefühl habe das das GL.iNet Webinterface nur Wireguard Config-Files für deren DDNS-Service (IPv4) erzeugen kann,
dachte ich nun, dass ich über OpenWrt (Luci) vielleicht besser weiter mache. Dort ist es aber echte Handarbeit und man muss gleiche ich wissen was man tut, z.B. DNS-Server, Listenport, etc. Siehe Screenshot. Es fehlen im Luci-Webinterface diverse Angaben vermutlich muss man dort die korrekten Einstellungen per Konsole eingeben.
Dankeschön
-
Mal kurz zu den Weboberflächen (GL.iNet und Luci) auf dem Mini Router: Kann es sein, dass du die über unterschiedliche Portnummern aufrufst? Oder wie unterscheidest du dazwischen? Das frag ich nur so rein interessenhalber. Könnte aber später - wenn VPN funktioniert - ein interessanter Testfall werden.
Das Handy Config File sieht doch schon gar nicht so schlecht aus. Da müsste jetzt dein "xxx.dnshome.de" als Gegenstelle rein, anstatt der 94er IP Adresse. Als DNS Server kannst du irgendeinen öffentlich verfügbaren Server eintragen: Google, Cloudflare, Quad9 oder sowas würde ich empfehlen. Aber der, der jetzt drinsteht, geht vermutlich auch. Listenport ist egal. Auf Serverseite sollte ein "PersistentKeepalive = 25" für den Client drin sein. Auf Serverseite kann man den Endpoint Eintrag auch rausnehmen, da es sich ja um einen mobilen Client handelt.
