Reiner IPv6 Anschluss mit Domain nutzen und mittels VPN verbinden z.B.
-
Hallo Zusammen,
erst mal entschuldigung für den Betreff. Weiß es selber nicht wie ich es ausdrücken bzw beschreiben soll.
Ich habe einen Internetanschluss von der Deutschen Glasfaser, und somit ein reinen IPv6 Anschluss. IPv4 ist ja "genattet". Somit kann ich von außen nicht mehr über IPv4 auf mein Netzwerk zugreifen.
Kaum zu glauben aber an folgendes Projekt arbeite ich schon über ein Jahr. Und komme einfach nicht weiter weil ich es nicht verstehe. Vorher nutzte ich opnsense, aber das habe ich schnell aufgegeben weil das Forum mir zu elitär war, und statt mir Lösungsansätze zu zeigen, direkt mit Links rumgeworfen haben.
Selbst den Support den ich bezahlt in Anspruch nehmen wollte, wollte mir nicht helfen. Auf jeden Fall nutze ich seit gut 8 Monate pfSense und habe es soweit eingerichtet bekommen. Der Anton Bracke (https://beechy.de/) und seine Blogeinträge hat mir dabei sehr viel geholfen.
Was nun funktioniert:
- IPv6 wird an die einzelnen Geräte verteilt, und diese können z.B ipv6-only Seiten aufrufen oder mit ipv6 Server kommunizieren.
- VOIP Telefonie funktioniert (über eine Fritzbox im Netzwerk).
Das ist auch schon 90%.
Die restlichen 10% scheitern an den Zugriff von draußen. Vor dem Deutschen Glasfaser Anschluss, hatte ich einen Anschluss bei der Telekom. Dort habe ich einfach eine Debian VM freigegeben, worauf openvpn lief. So konnte ich mich mit meinem Notebook von draußen nach Hause verbinden und meine ganzen Dienste nutzen (Pi-hole, Plex, FOG Project (imagingserver) usw). Aber das war halt IPv4.
Und das selbe will ich nun auch umsetzen, nur halt mit IPv6 (weil ich es leider muss). Und das bekomme ich einfach nicht hin. Habe zwar mal eine Lösung aus dem opnsense Forum bekommen, dann sind jedoch ALLE Geräte im Netzwerk über ipv6 ansprechbar. Das möchte ich nicht. Von außen nach innen soll alles dicht bleiben, IPv4 sowie IPv6.
Openvpn soll das Tor rein sein.
Und Sahnehäufchen wäre noch natürlich, wenn ich meine Domain die ich dafür registriert habe nutzen könnte.
Ich hoff mir kann endlich mal einer zur Seite stehen. Wäre sehr dankbar.
-
@Krautsalatmission Woran scheitert es denn jetzt, hast Du den OpenVPN-Server schon vollständig eingerichtet?
-
@Bob-Dig said in Reiner IPv6 Anschluss mit Domain nutzen und mittels VPN verbinden z.B.:
@Krautsalatmission Woran scheitert es denn jetzt, hast Du den OpenVPN-Server schon vollständig eingerichtet?
Inzwischen nicht mehr.
Aber als es eingerichtet war, zumindest denke ich es es war eingerichtet, funktionierte die Freigabe der VM nicht. Also kam nicht von draußen nach drinnen.
Jedoch, da openvpn anscheinend ganz speziell eingerichtet werden muss um ipv6 zu nutzen, bin ich überhaupt nicht sicher ob ich es zu damaligen Zeitpunkt überhaupt richtig gemacht habe. Als ich das dann mal vor Monaten in opnsense Forum gepostet habe, fragte man mich direkt warum ich dies nicht mit opnsense selbst mache (weil ich es sicherheitstechnisch besser finde, wenn der VPN Server nicht auf der gleichen Maschine läuft wie die Firewall. Man kann mich ruhig eines besseren belehren). Also habe ich dies über einen der vielen Guides probiert. Hab es aber auch nicht hinbekommen.
Ich weiß ehrlich gesagt nicht wo ich anfangen soll. Also erst darum zu kümmern das die VM (egal was für ein Dienst nun darauf läuft) von außen ansprechbar ist, oder die Geschichte mit der VM. Oder direkt weg zu lassen und die VPN Funktion von pfsense zu nutzen. Letzteres weiß ich gar nicht wie man das dann einstellt.
-
@Krautsalatmission Letzteres ist kompliziert und ich hab leider auch gerade kein tutorial zur Hand. Du musst wohl ein Zertifikat in pfsense und user erstellen und kannst dann den Wizard nutzen. Mehr weiß ich aber auch nicht. Müsste es allerdings selbst bald wieder mal machen.
-
@Krautsalatmission Was zeigt dir wieistmeineip.de an? Hast Du in pfSense einen Dynamic DNS Client eingerichtet? Löst deine Domain auf deine IPv6 auf? Ich bin selber kein Experte aber die anderen haben wohl scheinbar alle gerade Urlaub.
-
wieistmeineip.de ist bei mir gesperrt da diese zu Axel Springer gehört Aber https://www.whatismyip.com/ zeigt zb "meine" Ipv4 Adresse und meine IPv6 Adresse.
Zu dem Zeitpunkt wo ich das alles ausprobiert habe, hatte ich noch keine Domain.
Diese will ich auch nicht nutzen, bis alles wirklich läuft.
Und ja, wenn man Google, den Foren und co vertrauen darf, scheint ja ich der einzige Mensch auf der Welt zu sein der ein Openvpn Zugang nur über ipv6 nutzen möchte... Oder alle die sich damit auskennen, wollen mir einfach nicht helfen
-
@Krautsalatmission Wobei ich gerade woanders gelesen habe, dass Du z.B. mit einem Smartphone dich gar nicht auf IPv6 verbinden kannst, wenn dieses nur eine IPv4 Verbindung hat. Das könntest Du auch erst einmal testen, je nachdem, was eigentlich dein Anwendungsfall ist. Vielleicht ist nämlich schon da Schluss.
Ansonsten habe ich gerade bei mir den VPN-Server aktiviert, es war ein Krampf. Aber da gibt es auch eine Option für IPv6, die ich aber nicht nutze. Ich denke daher, daran sollte es nicht scheitern. -
Ich nutze auch kein Smartphone für solche Dinge.
Mal gucken ob ich diese Woche eine Person/Firma finde die sowas gegen Geld umsetzen kann.
-
@Krautsalatmission Ich denke wir hätten das auch hinbekommen, wenn deine Clients IPv6 können.
-
Meine Clienten haben/können alle IPv6 bzw sitze ich nur vor solchen Clienten.
Mach mir keine Hoffnungen!
Ok. Dann wo/wie fangen wir am besten an? Server von pfsense nutzen oder ne Debian VM einrichten?
-
@Krautsalatmission Ich nutze nur den in pfSense.
Hast Du denn jetzt schon irgendeinen Server/Services laufen, damit sichergestellt ist, dass Du von außen erreichbar ist? Denke das muss zu erst sichergestellt sein. Nicht, dass irgendeine Geräte-Firewall was blockt. -
Theoretisch ja. Openmediavault. Plex. und diverse andere. Alle Clienten in meinem Netzwerk bekommen von pfsense eine ipv6 Adresse. Die sind alle nicht von außen erreichbar. Alle Clienten (alles Linuxe) haben keine Firewall aktiviert (ist ja alles nur intern).
Die einzige Firewall ist pfsense. Und es soll auch alles von außen nach innen zu bleiben.
Mein Vorhaben ist das nur eine OpenVPN Maschine offen ist. Aber das fällt ja dann auch weg wenn ich den OpenVPN Service in pfsense nutzen würde.
Wie richte ich den denn ein? Dieser soll nur auf ipv6 laufen.
Edit: Was ich vergaß: Der Dienst soll zwar nur auf ipv6 laufen, aber dem verbundenen Clienten natürlich eine ipv4 (optional auch ipv6, nicht notwendig) für die Verwendung im Netzwerk geben.
-
@Krautsalatmission Nun es gibt ein paar Optionen im GUI betreffend IPv4 und IPv6, da musst Du dann das für dich passende wählen.
Beginnen würde ich wie folgt: erstelle unter System / Certificate Manager / CAs eine neue Certificate Authority.
Anschließend unter System/ User Manager /User einen neuen User für das VPN. Beim erstellen den Haken setzen, dass auch ein Zertifikat erstellt werden soll. Als CA wählst Du die eben erstellte CA aus, die wahrscheinlich eh die einzige ist. -
Ok.
Habe ich erledigt.
-
@Krautsalatmission Jetzt nach OpenVPN wechseln und den Wizard benutzen, dabei Local User auswählen und dann die CA, die Du erstellt hast. Mit dieser kreierst Du dann im Wizard auch noch ein Server Zertifikat, wenn Du danach gefragt wirst.
Wenn Du das hast kommst du zum eigentlichen Server, hier dann wohl UDP on IPv6 auswählen. Den Port würde ich ändern.
Certificate Depth erstmal auf Do not check.Das Tunnel Network kannst Du so wie im Beispiel angeben, Local Network ist dann dein tatsächliches LAN, welches in der selben Schreibweise anzugeben ist.
Redirect Gateway den Haken setzen.Ansonsten die Einstellungen so lassen und erst mal keinen Server eintragen wie DNS usw.
Auf der nächsten Seite dann die haken setzen für die Firewallregeln.Dann bist Du schon fertig.
Du kannst bei den Firewallregeln sehen, dass der VPN-Server auf dem WAN-Interface lauscht, Du musst dich also auf die IPv6-Adresse von pfSense selbst verbinden.
Aus dem Packet Manager von pfSense installierst Du dir noch openvpn-client-export. Dann kannst Du unter OpenVPN noch die passende Config für Client exportieren, wobei unten der Useraccount zu sehen sein sollte. Bis auf Use Random Local Port würde ich keine Haken setzen. Dann als default Speichern und erst danach config files herunterladen, welche passen.
Wenn Du DDNS in pfSense erfolgreich am laufen hast, kannst Du auch den Namen statt der Interface IP Adresse in die Config schreiben lassen oder die config später per Hand ändern.
Ich hoffe das hilft Dir weiter und dass es auch mit IPv6 läuft, was ich selber noch nicht getestet habe. Es könnte ja sein, dass du auf IPv6 bleiben musst und nicht intern auf IPv4 wechseln kannst, aber das weiß ich halt nicht.
-
Mit dieser kreierst Du dann im Wizard auch noch ein Server Zertifikat, wenn Du danach gefragt wirst.
Bei "Choose a Server Certificate" ist nur ein Cert da. Und zwar das, was beim anlegen des Nutzers erstellt worden ist.
Ich würde behaupten das ist aber falsch nach deiner beschreibung?
-
@Krautsalatmission Genau, einfach ein neues erstellen, über den Button im Wizard, nur für den Server. Das soll so sein, alles richtig bis jetzt.
-
Kommt bei Tunnel Network und Local Network jetzt also wirklich eine IPv4 Adresse?
Also Tunnel Network habe ich das Beispiel genommen wie du gesagt hast, also 10.0.8.0/24 und Local Network 192.168.2.0/24
-
@Krautsalatmission Wenn letzteres dein LAN ist dann ja. Keine Ahnung ob OpenVPN das kann, aber ich vermute das wird.
-
@Bob-Dig said in Reiner IPv6 Anschluss mit Domain nutzen und mittels VPN verbinden z.B.:
Du kannst bei den Firewallregeln sehen, dass der VPN-Server auf dem WAN-Interface lauscht, Du musst dich also auf die IPv6-Adresse von pfSense selbst verbinden.
ja ich sehe eine Regel. Bei "Protocol" steht jedoch Ipv4 UDP obwohl UDP Ipv6 only ausgewählt habe. Bin auf Edit gegangen und habe mal auf IPv6 geändert.
-
@Krautsalatmission Viel Glück! Wenn Du den Wizard noch mal ausführen willst um irgendwas anders zu machen, solltest Du die alten Firewall-Regeln händisch löschen, sie werden nicht automatisch gelöscht, ist halt pfSense.
-
Ich liebe dich!
Tatsache! Bin verbunden! Es klappt!
Habe mich per Remoteverbindung ins Büro geschaltet, und dort die von pfsense generierte exe installiert. Und voila. Verbindung da.
Jedoch habe ich nun ein Problem: Das Netzwerk im Büro ist auch 192.168.2.0/24. Und zu Hause ebenso.
Das heißt wenn ich z.B 192.168.2.1 aufrufe, komme ich im Büro auf die Fritzbox aus. Kann ich das verhindern? Vor meinen Anschluss bei der Deutschen Glasfaser und somit auch vor pfsense, war zu Hause mein Netzwerk 192.168.5.0/24 um das Problem zu umgehen.
Das jetzt nachträglich zu Hause zu ändern, wäre sehr sehr aufwendig da etliche Maschinen feste IPs bekommen haben.
-
@Krautsalatmission Schön, dass es geht!
Bin da kein Experte aber ich meine mal gelesen zu haben, dass man wirklich unterschiedliche Subnetze nehmen soll/muss zwischen den Standorten. Aber jetzt wo es läuft kannst Du vermutlich gezieltere Fragen stellen, die Du auch beantwortest bekommst, von den echten Profis. -
Ja jetzt komm ich klar!
Das einzige was jetzt nur nervig sein wird, ist es durch einen Dschungel von Configfiles zu kämpfen um überall das Subnetz zu ändern
Aber gut, dann setz ich mich wohl jetzt daran und hoff das ich zum Schluss noch online komm!
Ich meld mich. Vielen Dank noch mal!
-
@Bob-Dig said in Reiner IPv6 Anschluss mit Domain nutzen und mittels VPN verbinden z.B.:
Das Tunnel Network kannst Du so wie im Beispiel angeben, Local Network ist dann dein tatsächliches LAN, welches in der selben Schreibweise anzugeben ist.
Redirect Gateway den Haken setzen.Den Haken würde ich in deinem Fall wohl doch nicht setzen. Vermute den brauch man nur, wenn man auch das Internet der anderen Seite nutzen wollte.
-
Den Haken würde ich in deinem Fall wohl doch nicht setzen. Vermute den brauch man nur, wenn man auch das Internet der anderen Seite nutzen wollte.
Den Haken habe ich gesetzt. Und es wurde trotzdem der DNS Server vom Büro genutzt (fritzbox).
Als ich die Clientconfig damit ergänzt habe:
script-security 2
dhcp-option DNS Ip_des_dns_servers_zuhausehat auch der Client den DNS Server zu Hause genutzt.
-
So, dank dir läuft nun alles wie ich es mir wünsche! Wunderbar, danke noch mal!
Habe nur noch ein Problem. Und zwar die Geschichte mit der DNS Auflösung.
Das was ich im vorherigen Post geschrieben habe, brachte trotzdem nichts. DNS Leak Test (https://www.dnsleaktest.com/) sagt mir immer noch das ich ein DNS Server nutze der nicht mit dem Zuhause übereinstimmt.
Also habe ich natürlich in pfsense überall die zugehörigen Haken gemacht.
Redirect Gateway ipv4 & ipv6
DNS Default Domain pihole.local (keine Ahnung ob richtig. habe einfach den hostnamen des DNS Servers angegeben)
DNS Server 1 die ipv4 Adresse des pi-holes
DNS Server 2 die ip6 Adresse des pi-holes
Block Outside DNS
Force DNS cache updateUnd bei Client Export auch Block Outside DNS angehakt.
Wenn ich mich nun mit dem Clienten (Windows oder Linux) verbinde, habe ich zwar eine Verbindung mit meinem Netzwerk, aber komme nicht ins Internet.
-
@Krautsalatmission Und für dich ist jetzt DNS wirklich so entscheidend?
Ich weiß nur, dass auf dem Smartphone erst mal kein Internet ging, als ich den DNS Server (pfSense) vorgeben hatte. Hab dann einfach nichts eingetragen und bin mir sicher, sogar einen DNS-Leaktest im Browser auf dem Phone bestanden zu haben. -
@Bob-Dig said in Reiner IPv6 Anschluss mit Domain nutzen und mittels VPN verbinden z.B.:
@Krautsalatmission Und für dich ist jetzt DNS wirklich so entscheidend?
Jaein. So könnte ich die Pi-Hole zu Hause nutzen. Lebenswichtig ist es nicht. Es wäre nur das Sahnehäufchen.
Prinzipiell ist das meiner Meinung nach Pflicht bei einem VPN
-
Ahoi.
Das Thema ist ja schon ein bisschen älter, trotzdem dazu:
OpenVPN ist keinesfalls schwerer oder "anders" einzurichten wie mit IPv4. IPv6 basierende Server funktionieren exakt genauso wie IPv4 nur dass man eben die V6 statt die V4 Adresse angibt, ggf. per DNS erreichbar haben muss etc.
Ich habe meine Box bspw. (dank DualStack) sowohl per v4 als auch v6 erreichbar.
Und ja beim Tunnelnetz kann hier auch bei Verbindung via v6 einfach ein v4 Tunnelnetz genutzt werden, wenn man intern auf private IP4 zugreifen möchte. Man kann aber auch genauso (zusätzlich oder nur) ein v6 Tunnelnetz vergeben und dann die internen Geräte per V6 erreichen, wie man möchte. Nur muss man sich das vorher genau überlegen und dann Schritt für Schritt durchkonfigurieren :)
Wenn hier noch weitere Hilfe gewünscht ist, gerne weiter melden.
Desweiteren bin ich nicht der Meinung, dass es sicherheitstechnisch besser ist, den VPN Server extra zu stellen oder nachgestellt zu betreiben. Es kann aber durchaus Szenarien geben, in denen das Sinn macht oder in denen das aus Routing Sicht besser ist. Sicherheit sehe ich hier wenig pros oder cons.
Grüße
-
Danke für die ausführliche Erklärung!
Inzwischen habe ich es ja am laufen, so wie du beschrieben hast.
Kann mich per IPv6 mit dem VPN Server verbinden, und kann die IPv4 Clients im Heimnetz über IPv4 ansprechen.
Kannst du ggf noch was dazu sagen? -> https://forum.netgate.com/topic/147953/client-openvpn_ipv4-vserver-openvpn_ipv6-zuhause-und-zur%C3%BCck-m%C3%B6glich