Beiträge von JoFiber

    Ansonsten eignen sich OpenWRT-Router oder auch ein Raspberry Pi gut für diese Aufgabe. Für letztere gibt es vorbereitete Systemimages, mit denen ein VPN-Server für Wireguard oder OpenVPN schnell eingerichtet ist.

    Nutze auch Wireguard via IPv6, was super stabil läuft.

    Nachteil allerdings, grad im Ausland, wenn man kein IPv6 bekommt, geht nichts.


    Im deutschen Mobilfunknetz ist es kein Problem, da IPv6 verfügbar ist...

    Kannst Du mir erklären, warum Du in der FB folgende Einstellung aktiv hast: "DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen"

    Da habe ich ein Verständnisproblem.

    Bezog sich das auf meinen Screenshot? Das hatte ich bei den Fritz!Box SW Bug zum testen rumprobiert.

    Nach dem Rücksitzen auf Werkseinstellungen, steht es mittlerweile auf "Nur DNS-Server zuweisen".

    Also bzgl. IPv4 && VPN konnte ich mich Dank Wireguard komplett entkoppeln.

    Stabilität via IPv6 ist wirklich einfach einwandfrei, wie auch schon via IPv4 die letzten Monate 24/7 verbunden.

    Für meine Anwendungen fällt mir nichts ein, was man im allgemeinen braucht / nicht mit VPN lösen kann…


    Notwendig:

    • DG Anschluss mit IPv6 native
    • Dynv6 Service für AAAA Adresse (kostenlos)
    • Fritzbox Portfreigabe UDP/TCP
    • Raspberry oder Proxmox LXC mit IPv6 Adresse von FB-DHCPv6
      • DDClient für DynDNS
      • Wireguard/Nextcloud/Homecontrol Installation


    Nach etwas Irrweg durch Fritzbox- SW Probleme, ist die Installation einfach und schnell gemacht.

    Da im Wireguard VPN Tunnel weiterhin IPv4 möglich ist, ist die Konfiguration und auch Umstellungaufwand gering.


    Mit nem DDclient kann man so einfach für jeden Client (wireguard /nextcloud/…) eine eigene IPv6 verlinken, ohne die FB als Bootleneck zu haben.

    Bzgl. der remote Konfiguration ist halt die Fragen, was die DG an sich einstellen kann.

    Einzige Einstellung neben IPv4/6 ist doch nur die VLAN ( 0 bei eigenem Router & 360-364 bei ner DG Box).

    Der DG Router (Genesis oder ähnlich) ist nicht wirklich eine Option und mieten einer FB7590 ist mir einfach wenig Sympathisch .... Dafür kann man ja auch theoretisch bei ner Glasfaser den Anbieter in Zukunft wählen, die Telekom ruft mit Sicherheit nach 2 Jahren an ;)


    Sofern es verlangt wird kauf ich sonst auch gern irgendwann ne aktuelle FB ohne Branding, sehe den Vorteil der 7590 allerdings aktuelle als zu gering, daher reicht die 7490 es erstmal und bei nur 300er Leitung weit weg von Grenzen...


    P.S.: Nen einfaches Datenblatt wäre seitens der DG auch ne sinnvolle Idee, auch wenn in den Foren viel gehoben wird :saint:

    Ich hatte parallel ne ähnlichen Thread.


    Sofern die mobilen Geräte IPv6 können, brauch man keine statische IPv4 mehr. Wird zwar überall viel Werbung für gemacht, aber mann muss eh weg von IPv4 irgendwann.


    Einfach nen Raspberry mit Wireguard aufsetzen & man hat nen VPN ohne die Speedlimitierungen der Fritz!Box...

    Also gelernt hab ich beim Durchtesten viel über IPv6 und neu aufsetzen von Wireguard ohne PIVPN!

    Aber das nach Rücksitzen der Fritz!Box auf Werkseinstellungen plötzlich wie bei euch neue Optionen in Freigaben auftauchen, die vorher nicht da waren hätte ich nicht gedacht.


    Mit dem Aktivieren von Freigabe mit IPv6 klappte es natürlich sofort!! Unglaublich! Vielleicht sollte ich das 1&1 Branding noch entfernen, wer weis was noch alles hängen kann!

    Ich hatte befürchtet das mir die FB hier nen Streich spielt.

    Trotz Aktivierung von IPv6 - kommt die Option garnicht(also Auswahl IPv4 vs IPv6, ....), das hatte mich schon stutzig gemacht aber dachte es ist bei älteren 7490 so....

    Sind sonst noch Fehler in den IPv6 config, das evtl etwas fehlt oder muss ich die FB evtl einfach neu aufsetzen?


    Sie Bild 1 - Freigabe

    Siehe Bilder 2-3 IP6 is active...


    Siehe Vergleich zu eurem Screenshot...


    Richtig. Das machen viele falsch, aber genau so, wie du es beschreibst, ist es richtig. Die Adresse des Raspi muss angesprochen werden, bzw. bei einem dyndns Dienst eingetragen werden.


    Was genau machst du mit Wireshark? Aber wenn es es schon installiert hast: Jetzt ist es die richtige Gelegenheit, den Traffic auf dem VPN Server mitzuschneiden und mit Wireshark zu analysieren, was genau da ankommt, wenn du versuchst, dich über Mobilfunk zu verbinden.


    Warum ein /72 Subnetz? Alles außer /64 macht üblicherweise Ärger und man sollte sich sehr genau überlegen, was man tut, wenn man das ändert. Bei der DG kann ich mir kein Szenraio vorstellen, wo das Sinn macht:

    • Entweder möchte man sein Subnetz zu Hause über VPN verfügbar machen, dann sollte man das komplette /64 Netz freigeben
    • Oder man möchte den VPN Server ein dediziertes Netz für VPN Clients aufziehen lassen, aber dann sollte er per Prefix Delegation ein eigenes /64 Netz bekommen. Man hat bei der DG ja 256 davon, das sollte reichen.
    • Ein /72 im VPN Netz heißt entweder, dass man viele Hosts aus seinem Standard-Netz nicht erreicht, oder in anderen Bereichen des Netzes ebenfalls mit Sbunetting arbeite muss. Beides macht bei DG keinen Sinn - siehe oben.

    Sorry meinte Wireguard !


    Werde es mit /64 versuchen. Danke

    Also ich habe Wireshark nach der ersten Anleitung noch mal frisch installiert & verbindet auch wunderbar, sofern ich im eigenen WLAN bin mit dem Handy. Handy im LTE + IPv6 Adresse vom Provider > er verbindet nicht.


    Die Logik ist doch, das bei IPv6 Nutzung der Endpoint = IPv6 des Raspberry ist ( oder doch der FB selber)?

    Parallel dazu leite ich in der FB wie gewohnt den Port 51820 weiter den Raspberry.


    wg0.conf

    [Interface]

    Address = 172.16.100.1/24

    Address = 2a00:xxxx:ffff:ffff:100::1/72

    SaveConfig = true

    PostUp = iptables -A FORWARD -i %i -j ACCEPT; iptables -t nat -A POSTROUTING -o eth0 -j MASQUERADE

    PostDown = iptables -D FORWARD -i %i -j ACCEPT; iptables -t nat -D POSTROUTING -o eth0 -j MASQUERADE

    ListenPort = 51820

    PrivateKey = ....

    [Peer]

    PublicKey = ....

    PresharedKey = ....

    AllowedIPs = 172.16.100.0/24, 2a00:xxxx:ffff:ffff:100::/72


    Client

    [Interface]

    Address = 172.16.100.2/24, 2a00:xxxx:ffff:ffff:100::2/72

    PrivateKey = ....

    DNS = 172.16.100.1

    [Peer]

    PublicKey = ....

    PresharedKey = .....

    AllowedIPs = 0.0.0.0/0, ::/0

    Endpoint = [2a00:xxxx:xxxx:xxxx:xxxxx:xxxxx:xxxx:xxx]:51820

    Guten morgen,


    ich nutz auch Wireguard, der bit dato am Telekom IPv4 Anschluss 24/7 lief vom Handy ohne Probleme.

    sn0 - Guter Tip - man kann im APN ja auch IPv6 aktivieren! Das würde mich reichen.


    @Bracew

    Das heist du belässt die Einstellungen in Wireshark - Gibts es hier nen gutes Tutorial für IPv6 ( grad das /56 /72... erschließt sich mir noch nicht)

    - "Interface" im IPv4 Bereich

    - "Teilnehmer" setzt man den Endpunkt die IPv6 Adresse des Wireshark Servers?


    Meine Fritz!Box 7490 (7.27) hat Native IPv6 aktiviert. Bei der Portfreiigabe sehe ich jedoch nur die IPv4 Angaben und kann nicht auswählen (IPv4 oder IPv6 oder IPv4&IPv6).

    Zunächst erstmal Danke für die Beschreibung!

    Liege ich dann richtig - mein DG-Anschluss ist IPv6 Nativ und nutzt CGNAT für IPv4?


    Primär nutze ich jedoch Wireguard, bis dato vom Handy (was aktuell nur IPv4 hat) oder Laptop via Hotspot.

    Was kostet eine feste IPv4 Adresse bei DG, lohnt es da zu fragen?


    Wundere mich das es nur so umständliche Lösungen wie Portmapper oderähnliches gibt?

    VPN nutzt doch heute jeder oder?!?!

    Hallo,


    wir haben seit paar Tagen DG und nutze eine FB 7490.

    Wie schon oft hier beschrieben hängt mein FB-VPN / Wireguard will auch nicht verbinden von außen.

    Nach mehrfachem umstellen wird mir nicht klar, ob die DG jetzt IPv6 native / DS-lite oder was auch immer habe.

    Ein echte IPv4 scheint es für privat ja nicht zu geben.


    Im FB Online Monitor zeigt er mir:


    Internet, IPv4 : 100.116.19.xx

    Internet, IPv6 : IPv6-Adresse: 2a00:.....


    Wie kann ich testen was von DG angeboten wird. Laut Hotline angeblich beides ;(, was aber wohl nicht der Fall ist, sonst würde ja der VPN mit nativen IPv4 gehen!

    Danke für den Link. Also für alle die eine kurze Antwort suchen:


    - Theoretisch mit Unkosten für Umstellung möglich seitens deugl .

    - ONT muss verblieben für normalen Support & Tariflexibilität.


    Da es neben 2-4W Watt Einsparung keinen wirklichen Vorteil hat, lohnt es aktuell dann wohl eher nicht.