IPv6 VPN einrichten
-
@jegr said in IPv6 VPN einrichten:
Andere Alternative wenngleich wesentlich komplexer wöre ein Blick auf Tailscale
Wahrscheinlich die einfachste und nicht die "komplexere" Lösung. Einfacher als damit geht's nun wirklich nicht mehr, gerade bei CG-NAT Kunden.
Es sei nur anzufügen das zumindest der Communication-Broker nicht in den eigenen Händen liegt, sofern man das nicht auch noch selbst hostet mit Headscale. Dann wäre man aber wieder bei einer komplexeren Lösung... -
@m0nji Absolut korrekt. Steht auch auf der Lab-ToDo Liste hier, den ganzen Aufriß von Tailscale erst einmal nativ damit und dann ggf. mit Headscale nachzubauen je nachdem ob so komplex möglich oder nicht. :) Nur die Zeit ist wie so oft der Faktor ;)
Aber ja, der Comm-Server ist dann genau extern, wobei hier ja darauf verwiesen wird, dass die Verbindungen selbst ja E2E verschlüsselt sind. Stellt sich aber natürlich die Frage ob und wie ggf. es möglich wäre (hypothetisch) dass man als Rogue Element innerhalb Tailscales oder mit Zugriff auf das Backend/Comm-Server sich dann einfach "Rogue Endpunkte" hinzufügen lassen die dann ins Netz verbunden werden. Das muss man sich dazu aber nochmal etwas tiefer einlesen etc.
-
@jegr korrekt, ggf. mal ein Projekt im Allgemein Thread, analog dem Hetzner Thema. Was mich bisher auch immer wieder mal genervt hat, waren die vermehrten Verbindungen über die Tailscale Server anstatt den direkten Weg zu nehmen. Das Troubleshooting ist da nicht ganz easy.
Das soll aber die Einfachheit der Lösung dennoch nicht in Frage stellen. Gibt dutzende Szenarien wo Tailscale eine elegante Lösung sein kann.
-
Also ich hab das so verstanden bei der LEW, das ich eine IPv6 bekomme und keine eigene IPv4.
das ist mein Dilemma...
Ich hab zwar via dynv6.net eine feste IP, aber gestern klappte die Einwahl als Beispiel ohne Probleme, heute gar nichts mehr.
ich hatte gestern das ganze via OpenVPN konfiguriert.
-
@morpher said in IPv6 VPN einrichten:
Also ich hab das so verstanden bei der LEW, das ich eine IPv6 bekomme und keine eigene IPv4.
das ist mein Dilemma...Richtig, also DS-lite (Dual Stack lite) weil du kein echtes DualStack (IPv4+IPv6), sondern nur die Sparausführung mit v6 bekommst und dir die IPv4 abgehend mit anderen teilen musst (über CG-NAT o.ä. Techniken). Somit hast du eingehend für VPN keine IPv4 mit der du VPN Anfragen von dir als Client annehmen kannst um in dein Heimnetz zu kommen. IPv6 geht, aber dann hast du eben unterwegs oder in Public WiFis häufig das Problem, dass dort kein IPv6 ausgerollt ist und du daher nicht via IPv6 auf dein GW zugreifen kannst und damit kein VPN hinbekommst. Daher die Frage was genau deine Zielsetzung ist :)
Cheers
-
@morpher said in IPv6 VPN einrichten:
dynv6.net
Du meinst dynv6.com? Das wäre keine feste IP sondern DDNS. Zumindest in D. hat inzwischen jeder Handy-Netzbetreiber IPv6 ausgerollt, das sollte also nicht das Problem sein.
-
@bob-dig said in IPv6 VPN einrichten:
@morpher said in IPv6 VPN einrichten:
dynv6.net
Du meinst dynv6.com? Das wäre keine feste IP sondern DDNS. Zumindest in D. hat inzwischen jeder Handy-Netzbetreiber IPv6 ausgerollt, das sollte also nicht das Problem sein.
Was dir halt 0,0 gar nichts bringt wenn du in irgendeiner Firma, einem Hotspot oder im Cafe sitzt, dort den typischen 08/15 Hotspot hast und die keine Ahnung von IPv6 haben. Damit läuft man eben leider immer wieder Gefahr, dass man nicht hinkommt, weil irgendwo IPv6 fehlt. IP6 DynDNS Service hin oder her - ohne DualStack bzw. nur mit DS-lite wird VPN von außen richtig unangenehm.
-
Und das ist dann wohl mein eigentliches Problem :-)
Ich benötige eine von da ich auf das interne Netzwerk zugreifen möchte.
Dort läuft eine hausautomation, ein nas, Kameras, … ich will es einfach. 🤨
Wie komme ich denn in mein Netzwerk von außen?
Nur mit einem echten Dual Stack?
-
@morpher du kannst dir doch bei einem provider eine vm holen (netcup, hetzner usw.) da packst du dir dann das vpn (server) für s2s und RW mit dem RW kannst du deine mobilen geräte versorgen und über das s2s kommst du auf dein heim netz.
wurde hier schon öfter im forum geschrieben. wenn es nicht zu viele dienste sind kannst du es auch mit frp machen.
-
@morpher Entweder den Weg den auch @micneu beschreibt: man bindet sich selbst an einen vServer oder eine VM an die man irgendwo billig mietet und wählt sich von unterwegs dann dort ein (und routet den Traffic dann nach Hause).
Oder als andere Alternative (weil gestern damit herumgespielt): du schaust dir das Tailscale Package an. Das geht genau in die Richtung die du ggf. suchst. Auf der Home-pfSense Tailscale eingerichtet als Subnet-Router (für die Heimnetze) und auf dem Laptop/Smartphone/etc. für dich dann den Tailscale Client drauf und dort dann via Tailscale nach Hause geroutet werden.
Funktioniert vom Prinzip her wie Teamviewer/Anydesk, wo sich die Geräte auch alle an einem Control Server anmelden und darüber dann miteinander verschaltet werden. Dadurch musst du beim Verbindungsaufbau nicht direkt deine pfSense anwählen, sondern kannst die über das Tailscale Netz erreichen. Ist natürlich nicht so schön als wenn man alles selbst betreibt, aber bei der Situation tatsächlich eine große Hilfe. Und wenn man es mit einem GitHub Account betreibt und dort eine Organisation erstellt oder hinterlegt, kann man bei Tailscale kostenlos auch den GitHub Community Friends&Family Plan nutzen. Ist zwar immer noch "nur" ein Subnetz Router damit erlaubt (also bspw. deine Home pfSense) aber dafür können damit mehrere User hinzugefügt werden - wenn man das möchte - und man kann noch mehr Server/Geräte anbinden.
Cheers
