How To für VPN mit Wireguard und VPS / Deutsche Glasfaser IPv6

  • Die IP über WLAN oder LAN ist Standard 192.168.8.1

    Der WAN hat DHCP und bekommt von meiner Fritzbox eine lokale IP.

    Anfangs war das Webinterface er nur über LAN und WLAN erreichbar.

    Inzwischen klappt es auch problemlos von der Fritzbox-Netzwerkseite, sprich über meine FritzBox Repeater aus dem ganze Haus.

    Der Mini-Router WAN ist somit mit dem 7590 LAN verbunden. Sonst ist nichts verbunden.


    Was ich nicht verstehe, trotz Freigabe von HTTPS und Wireguard in der 7590 (siehe vorheriger Post) klappt es jetzt nicht mehr vom Handy.

    Komme über xxx.dnshome.de nicht mehr auf das Webinterface. Ganz seltsam und quasi Willkür.

    IPv6test sagt Handy ist IPv6-fähig. 7590 sagt weiterhin gleiche Einstellungen für Freigabe. Habe testweise eben sogar den kompletten Mini-Router mal freigegeben (Exposed Host). Ohne Besserung.


    Zur deiner Frage, wenn ich die https://xxx.xxx.xxx.xxx eingebe, löst er auf zu http://xxx.xxx.xxx.xxx/#/internet

    Das ist dann das GL.iNet Interface. Wenn ich zu OpenWrt möchte, gehe ich im GL.iNet Menü über "Mehr Einstellungen" -> "Erweitert" -> "Luci" auf einen Link der so aussieht: https://xxx.xxx.xxx.xxx/cgi-bin/luci/


    Von Prinzip ist die Box super. Nur GL.iNet kann wohl kein IPv6 VPN.

    OpenWrt kannes es vermutlich aber irgendwo ist das der Wurm drin.

    Dachte auch ganz Easy Config-File anpassen (DDNS rein) dann müsste es gehen. Hab bestimmt 30 Varianten probiert auch direkt mit aktuell öffentlicher IPv6, ohne Erfolg. Glaube irgendwas stimmt mit der DDNS nicht oder der Mini-Router blockt die Verbindung oder die FritzBox macht etwas blödes...

    Schwierig...


    nslookup löst meine xxx.dnshome.de richtig in IPv4 und IPv6 auf. Daher denke ich das passt.

    Der Fritzbox müsste ich auch vertrauen, kann aber nicht prüfen ob die irgendwas mit den Ports block.

    Ob der Mini-Router nun etwas verbockt und die eingehende Verbindung sieht, weiß ich leider auch nicht...


    Dreh mich irgendwie im Kreis. War ja am Überlegen ob ich alle Einstellunge rein im OpenWrt vornehme, aber finde da auch keine gute Anleitung wie man einen VPN Server im Heimnetzwerk mit Wireguard aufsetzt. Vieles für Raspi, glaube mit den Kommandos schließe ich den Mini-Router aber gleich ab und stelle falsche Sachen ein.

    Probiere jetzt nochmal bißchen rum... vielleicht ein anderer DDNS Anbieter im Luci Interface.

    Mittwochabend noch nix vor ? Lust auf makerlab-hannover.de ? Gemeinsam an Projekten tüfteln

    2 Mal editiert, zuletzt von Mathias ()

  • Von Prinzip ist die Box super. Nur GL.iNet kann wohl kein IPv6 VPN.

    Doch, kann sie. Das ist ja nichts anderes, als ein Linux System. Ich vermute da eher die Firewall des Mini Routers, die zu restriktiv ist.


    Hast du Zugriff auf die Console? Oder bietet der Mini Router irgendwo in der Weboberfläche einen Paketmittschnitt an? Dann können wir überprüfen, was von deinen Zugriffen von außen beim Minirouter ankommt.

  • Könnte erklären, warum ich über MyFritz auf die Oberfläche der FritzBox komme aber es einfach nicht klappt zum Mini-Router durchzukommen.
    Hier fragt Jemand auch ob man die Firwall abschalten kann - Lösung statt Router Modus nur Access Point. Hatte ich auch mal getestet, aber dann blendet da GL.iNet Interface alles bezüglich Fernzugriff und VPN aus. Daher glaube ich das ist auch keine gute Lösung... Würde daher als "Router" fortfahren wie bisher (dafür mit Firewall).


    Konsole geht per Putty.

    GL.iNet Interface bietet keine Möglichkeiten.

    Eventuell über dieses Luci Interface, aber vermute da brauche ich noch plugins etc.

    Denke daher Konsole, sofern das nicht zu komplex ist.


    Schon mal Danke für deine tolle Hilfe!


    Habe in "Luci" den Firewall Status gefunden. Habe dort nichts neues gefunden.
    Hatte manuell eine Portfreigabe im Mini-Router für OpenVpn(1194)+Wireguard(51820)+HTTP(80)+HTTPS(443) eingerichet. Daher nicht über diese Portnummern wundern. Sonst sehe ich aber dort leider keinerlei Infos.


    Edit:

    Über einen externen IPv6 Portscanner komme ich an die FritzBox, jedoch ist der Port 443 an der IPv6 des Mini-Routers angeblich closed.

    Interne IPv6 pings über "CMD" klappen bei Notebook und co, der Mini Router gibt aber keine Antwort.

    Ich glaube es stimmt irgendwas generell nicht mit dem Teil - vermutlich die Firewall. Habe vieles probiert, gebe nun glaube ich auf...

    Mittwochabend noch nix vor ? Lust auf makerlab-hannover.de ? Gemeinsam an Projekten tüfteln

    3 Mal editiert, zuletzt von Mathias ()

  • Könnte erklären, warum ich über MyFritz auf die Oberfläche der FritzBox komme aber es einfach nicht klappt zum Mini-Router durchzukommen.

    Was könnte das erklären? Ich hab dafür immer noch keine vernünftige Erklärung, warum du auf der IPv6 Adresse deiner Fritzbox die Weboberfläche deines Mini Routers aufrufen kannst. Das ist völlig unabhängig von der Firewall, der Zugriff geht auf die falsche Adresse. Dafür gibt es eigentlich nur eine Erklärung: Eine Portweiterleitung mit NAT in der Fritzbox.


    Habe in "Luci" den Firewall Status gefunden.

    Da erkennt man, dass für IPv6 die Ports für Wireguard bzw. VPN nicht geöffnet sind. Nur Port 443 ist offen. Auf IPv4 sind mehr Ports offen.



    Über einen externen IPv6 Portscanner komme ich an die FritzBox

    Was genau heißt das?



    jedoch ist der Port 443 an der IPv6 des Mini-Routers angeblich closed.

    Port 443 ist am WAN Port auf IPv6 offen.



    Interne IPv6 pings über "CMD" klappen bei Notebook und co, der Mini Router gibt aber keine Antwort.

    ICMPv6 ist am WAN Port erlaubt, mit einer Begrenzung der Paketanzahl.

  • Bin ehrlich gesagt mit meinem Latein am Ende.

    Bei IPv4 hab ich da noch ganz gut durchgeblickt. Die diversen IPv6 Einstellung in der FritzBox übersteigen schon etwas mein Wissen, dazu kommt, dass der GL.iNet Mini-Router nicht ganz so einfach wie gedacht unter IPv6 (Dual Stack Lite) läuft. Ist echt nicht schlimm, aber habe jetzt echt extrem viel Zeit investiert und merke langsam das ist unverhältnis mäßig und muss glaube ich nochmal eine andere Lösung suchen.

    Wenn ich mit dem Mini-Router über "Luci" (OpenWrt) nun über Konsole anfange alles zu konfigurieren, könnte ich mir auch einen deutlich leistungsfähigeren Rasberry PI 4 holen.

    Habe aktuell auch nochmal Nachwuchs bekommen und die Zeit ist echt sehr knapp.

    Werde es daher wohl vorerst mal auf Eis legen und wenn wieder etwas mehr Zeit ist nochmal mit einem Rasberry Pi versuchen (auch wenn das 100%ig keines simplere Lösung ist). Hoffe hier finde ich ein Tutorial das ich 1:1 abarbeiten kann.


    Hoffe ihr bzw du bist mir nicht böse. Aber trotzdem ganz lieben Dank für die Unterstützung.

    Mittwochabend noch nix vor ? Lust auf makerlab-hannover.de ? Gemeinsam an Projekten tüfteln

  • Ich bin auch überrascht, dass die GL Router bezgl. IPv6 noch so rudimentär ausgerüstet sind.


    Wenn ich mit dem Mini-Router über "Luci" (OpenWrt) nun über Konsole anfange alles zu konfigurieren, könnte ich mir auch einen deutlich leistungsfähigeren Rasberry PI 4 holen.

    Das stimmt.


    Melde dich einfach, wenn es soweit ist.

  • Dankeschön !
    Habe mal alles bestellt und bißchen kreuz und quer Anleitung für Raspberry PI gelesen.

    Glaube eine Einstellung in meiner FritzBox könnte vielleicht bei dem Mini-Router ein Problem gewesen sein.

    Wollte es hier mal posten, falls Jemand ähnliche Probleme mit einer 7590 hat.


    Angeblich muss man bei den IPv6 Einstellungen folgendes ändern, dass die IPv6 von außen erreichbar ist,

    da nur eine einfache Portfreigabe "angeblich" nicht mehr ausreicht.

    Man muss wirklich aktiv die IPv6 Adresse bis zum Endgerät durchschleifen und freigeben. Angeblich passiert das hiermit:


    (Werde es mal ausprobieren, wenn der Raspberry PI da ist. Melde mich dann gerne nochmal.) DANKE !

    Mittwochabend noch nix vor ? Lust auf makerlab-hannover.de ? Gemeinsam an Projekten tüfteln

    Einmal editiert, zuletzt von Mathias ()

  • Angeblich muss man bei den IPv6 Einstellungen folgendes ändern, dass die IPv6 von außen erreichbar ist,

    Das ist grober Unfug. Die Einstellung brauchst du nur, wenn du einen Router hinter der Fritzbox einsetzt, der seinerseits IPv6 Adressen an seine Clients verteilen soll. Sowas macht z.B. Sinn für Gastnetze, abgetrennte Bereiche (Ferienhäuser, Hotels) oder wenn man einen Server mit virtuellen Maschinen betreibt. Ansonsten für private Nutzer eher nicht.


    Um eine IPv6 Adresse, die von der Fritzbox verteilt wurde, von außen erreichbar zu machen, braucht man diese Einstellung garantiert nicht.


    Übrigens interessante Erkenntnis: Im anderen IPv6 Thread wurde eine Anleitung verlinkt, in der jemand eine myFritz Freigabe auf sein NAS Einrichtet. Diese Freigabe taucht in der Fritzbox als ganz normal Portfreigabe auf. Das erklärt zuverlässig, warum du über die myFritz-Adresse deiner Fritzbox auf die Weboberfläche deines Mini Routers zugreifen konntest. Es war die ganze Zeit eine myFritz Freigabe, aber keine Portfreigabe.

  • Deutsche Glasfaser (Dual Stack Lite wohl mit CGNAT) + FritzBox 7590 + Raspberry Pi 4 2GB + Wireguard ( + Adguard)


    Hallo,
    ich wollte mich nochmal melden. Leider habe ich das Thread hier ja recht gut gefüllt.

    Langsam verstehe ich IPv6 besser und bin nun auch ein kleiner Laien-Profi für Raspberry Pi 4 ;)


    Falls Jemand eine ähnliche Lösung sucht, helfe ich gerne mit ein paar Links und einer kleinen Liste


    Raspberry Pi 4 2GB (42€) + org 3A Netzteil (8€) + Gehäuse RB-ALUCASEP4+08 (11€) bei reichelt bestellt.


    Links zu guten Anleitungen die ich in Kombination genutzt habe und meine perfekte Lösung zu finden:

    (1) Putty downloaden + Anleitung zum Vorbereiten "Download OS" + "Image auf Karte" + "SSH" durchführen - siehe hier

    (2) Vorbereitung für VPN am Raspberry und Fritzbox - ganz wichtig - komplett ausführen (Hinweis: Ehternet=eth0 und glaube "PING6" nicht nötig) - hier

    (3) PiVPN installieren (hier für OpenVPN), da ich aber lieber Wireguard nutzen wollte, Video-Anleitung hier 1:1 befolgt. Aber DDNS aus (2) benutzt.

    (4) ***

    (5) Alles VPN wunderbar lief, dazu entschlossen noch etwas mehr auszuprobieren. Ich wollte erst Pi-Hole installieren - siehe hier, habe dann aber mal Adguard und Pi-Hole verglichenund mich auf Grund des einfach aussehenden Webinterface und der zusätzlichen Sicherheitsfeatures (Familienfilter und DNS-over-XXX Lösungen direkt dabei) für Adguard entschieden. Video-Anleitung siehe hierübrigens ohne Docker (da ich mich damit nicht befasst habe).

    (6) Dann nur noch in der 7590 den DNS-Server gemäß Video ändern und man surft werbefrei im ganzen Netzwerk

    (7) Was in der Anleitung nicht erwähnt ist, wir nutzen IPv6, daher unter Netzwerk->Netzwerkeinstellungen->IPv6 Einstellungen dort auch den internen DNS auf die IPv6 des Raspberry Pi verweisen (bitte mit fd00 beginnend). Allgemein ist das Thema DNS Server ("lokal" in den Netzwerkeinstellungen oder "upstream" in den Interneteinstellungen in der Fritzbox nutzen) sehr gut hier erklärt. Lokal (LAN-Seite) ist wohl "besser" da hier alle Geräte einzeln bei Adugard und Pi-Hole aufgelöst werden. Nutze ich und läuft gut.

    (8) Bei meinem Raspi ändert sich wohl die "etc/resolv.conf" und verweist auf den Raspi selbst. Vermute das müsste normal die Fritzbox sein um die internen Clients richtig aufzulösen (z.B. "raspi.fritz.box" oder "drucker.fritz.box" zur internen IP). Bin mir hier nicht ganz sicher, beobachte das und berichte hier zeitnah. Abhilfe hat bei mir wohl der Eintrag bei Adguard (Einstellungen->DNS-Einstellungen->Upstream Server) mit "[/fritz.box/]192.168.xxx.xxx" (IP der Fritzbox bei xxx eintragen) geschafft. Seither sind alle Clients (z.B. Drucker Webinterfaces) wieder im Browser über den jeweiligen Hostname xxx.fritz.box ansprechbar. Bisher läuft alles super.

    (9) Adguard mit guten Listen von Wally3k upgraden. Einfach die Listen hier zusätzlich in Adguard eintragen. Alternative auch die OISD Blocklist (gigantische Einzelliste) wobei ich das Gefühl hatte, dass diese deutlich mehr "Fehlalarme" auslöst. Daher habe ich diese wieder deaktiviert.

    :)


    --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- ---

    ***= Blöd geschaut, da ich wieder Probleme mit dem Wireguard VPN von Android (D1 Netz) aus hatte.


    Problembeschreibung und LÖSUNG:

    Diverse IPv6 Port Scanner genutzt, aber scheinbar kommt man nicht über die DDNS über die Fritzbox rein auf den Raspi.
    Daher viel gegooglt und gemerkt, dass viele andere (Kommentare ganz unten hier oder hier) auch das Problem haben -ohne Lösung-.
    "tcpdump" genutzt, aber nix kam am Raspi an. Ist vermutlich 1:1 das Problem das ich vorher auch mit dem GL.iNet Mini-Router hatte.

    Dachte schon ich muss aufgeben, bis ich in irgendeinem anderen Forum einen Satz gelesen habe wie "es könnte sein, dass es mehrere IPv6 gibt".

    Das habe ich bereits in der Fritzbox gesehen, der Mini-Router wie auch der Raspberry hatten zwei öffentliche IPv6.

    Ich habe in der Fritzbox7590 geschaut:

    Netzwerk -> "Gerät suchen + bearbeiten" -> IPv6 Adressen anschauen

    Dort standen tatsächlich 2x "2a00:" drin. Bei mir war die Freigabe in der Fritzbox für genau die andere IP, die der Raspberry dem DDNS gibt. Blöd!

    Laut Pi-Konsole ist es eine "prefixlen 64 scopeid 0x20" und eine "prefixlen 128 scopeid 0x20".

    In der Fritzbox kann man auch manuell unter Netzwerk -> "Gerät suchen + bearbeiten" -> IPv6 Interface-ID die Endung der IPv6 (Gerätekennung) manuell ändern. Ich vermute das ist nicht die beste Wahl, aber nach dieser Änderung ging auf einmal die Portweiterleitung (die ich gemäß Anleitung eingerichtet hatte unter: Internet->Freigabe->Portfreigabe mit" UDP 51820" "IPv6 only").

    Also nochmal den Raspberry genau geprüft, alle Config-Schritte angeschaut und neugestartet. Scheinbar haben dann Änderungen aus der oberen Anleitung (2) gegriffen und der Raspberry hat seither nur noch eine IPv6 (64er). Diese ist auch in der FritzBox jene IPv6 die Standard unter der Portfreigabe eingefügt wurde und seither gehen auch die Wireguard Anfragen von außen durch die 7590 durch zum Raspberry und alles läuft. Super -> Problem gelöst !

    --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- --- ---


    Hoffe die Anleitung hilft anderen Usern weiter, die ähnliche Probleme haben und eine Lösung suchen.
    Finde es blöd, dass die Deutsche Glasfaser keine öffentliche IPv4 anbietet (ok IPv6 ist die Zukunft) und

    das AVM kein VPN für Dual Stack Lite anbietet und wohl auch kein Update bringt (AVM Chat verwies mich an die DG).

    Finde es aber gut, dass man nun eine eigene wohl recht sichere Lösung hat und sogar Vorteile wie den Adguard mitnutzen kann. Daher zufrieden trotz kleinem Invest und nun etwas höherem Stromverbrauch(ist aber ja recht überschaubar).


    frank_m
    Danke auch nochmal für deine Hilfe. Somit wie du sagst keine Änderung bei der Fritzbox bezüglich "Unique Local Addresses (ULA)" NEIN und "DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen" NICHT nötig. Alles Standard lassen und es läuft auch so.

    Dankeschön !!

    Mittwochabend noch nix vor ? Lust auf makerlab-hannover.de ? Gemeinsam an Projekten tüfteln

    21 Mal editiert, zuletzt von Mathias () aus folgendem Grund: Anleitung etwas ergänzt und Rechtschreibfehler korrigiert. Ein paar Schlagwörter, die hoffentlich bei der Suche im Forum etwas helfen - sofern diese hier auch gesucht werden: Raspberry Pi 4 / Wireguard VPN / Fritzbox Portweiterleitung / Fritzbox Portfreigabe / PiVPN / Adguard / Probleme Fritzbox Raspberry Erreichbarkeit / VPN schlägt fehl / Wireguard keine Verbindung 7590

  • Du findest dieses Forum hier toll und möchtest es unterstützen? Großartig! Hier zeigen wir dir eine Möglichkeit, wie du uns supporten kannst. Es kostet dich keinen Cent mehr und das Forum bleibt hiermit weiter werbefrei.

    Amazon Link

    Nutze diesen Button um bei Amazon einzukaufen. Das kostet dich keinen Cent mehr, jedoch bekommen wir eine kleine Provision.
    Bei Amazon einkaufen und das GF unterstützen
    Mehr Infos gibt es in diesem Thread
  • Das ist natürlich wirklich doof, dass der ddns Dienst die falsche IP ausgesucht hat. Du hast nun die Privacy Extensions deaktiviert?

    Ja habe ich gemacht. Eigentlich soll das ja bewirken, dass die IPv6 immer gleich bleibt und sich nicht aus Datenschutzgründen ändern.

    Ich vermute aber auch, dass dadurch die IPv6 auf nur "eine IPv6 (64)" umgestellt wurde. Das hat sich aber erst nach einem Neustart des Raspberry PI gezeigt und somit war dann alles perfekt.

    Ich habe danach nichts mehr an der Konfiguration des Raspberry geändert und habe seither nur noch diese eine IPv6 (64), diese wurde bisher beibehalten und ist 1:1 mit der Freigabe in der Fritzbox identisch. Daher passt das jetzt alles zusammen ohne Bastelei in der Fritzbox.


    Das war vermutlich auch das Problem mit dem GL.iNet. Von Prinzip wäre der günstiger gewesen, aber der Raspberry Pi ist auch sehr sparsam und bietet sogar noch mehr Möglichkeiten (Pi-Hole oder Adguard) und hätte nicht gedacht, dass man mit den ganzen Anleitungen doch so recht einfach ans Ziel kommt.

    Auch nochmal Danke an deine Unterstützung - sonst hätte ich vermutlich gleich alles sein lassen und wäre nicht zu meiner jetzigen Lösung gekommen. :)

    Mittwochabend noch nix vor ? Lust auf makerlab-hannover.de ? Gemeinsam an Projekten tüfteln

Erstelle ein Benutzerkonto oder melde dich an um zu kommentieren

Du musst ein Benutzerkonto haben um einen Kommentar hinterlassen zu können

Benutzerkonto erstellen
Neues Benutzerkonto für unsere Community erstellen. Geht einfach!
Neues Benutzerkonto erstellen
Anmelden
Du hast bereits ein Benutzerkonto? Melde dich hier an.
Jetzt anmelden