Wie mittels OVPN IPv6 ausleiten

JeGr

@Bob-Dig said in Wie mittels OVPN IPv6 ausleiten:

Habe ja nur einen /64-Prefix auf dem VPS.

Genau deshalb sag ich ja, Anfrage stellen, brauche zweites Prefix für Virtualisierung/Docker/whatever. Normalerweise gibts das anstandslos.

Wenn es so wäre, wie müsste man OVPN einrichten, als site2site vpn statt als Client-Server, wie es jetzt ist?

Sinnvollerweise immer als Site2Site. Machst ja einen Tunnel und kein "Roadwarrior" Szenario. Auch wenn du "nichts" auf der remote Seite hast, musst du ja trotzdem ordentlich routen können. Bei Client VPN geht das nur schwer bzw. über iroutes. Doof. Daher immer als Tunnel aufsetzen, dann hat man weniger Streß.

Auf dem VPS läuft übrigens Windows in der Server-Variante.

Meh :/ Nicht schön. Das wird allein schon wegen Routing nervig. Keine Ahnung was man da ggf. noch einstellen muss, damit er Forwarding/Routing ordentlich macht.

Vom Prinzip her:

• zweites Prefix anfragen
• auf OVPN auch IP6 drauflegen mit einem fd00:: ULA Netz (https://de.wikipedia.org/wiki/IPv6#Unique_Local_Unicast)
  Die werden von dir zufällig im Bereich fdXY generiert (siehe Wiki)
• Mit dem FDxx als Transfernetz hast du jetzt ::1 und ::2 im Tunnel Setup. Dann musst du das ovpnX interface noch zuweisen in der Sense (assignments) und aktivieren. Hast du wahrscheihlich eh schon wegen PBR.
• Dann muss auf der Windows Gurke das zusätzliche IP6 Prefix dann durchgeroutet werden auf den Tunnelendpunkt der pfSense (also bspw. fdXY:ran:dom:beef::2). Damit kommt es da an und du kannst alles mögliche damit machen. Es intern auf dem LAN auflegen oder zusätzlich als Alias definieren wenn du nen he.net prefix eh schon hast. Dann bekommt die Sense auf dem LAN eben noch eine IP6 mehr als Alias und dein Mailserver eine fixe IP6 aus dem Netz und du kannst dann problemlos outbound sagen "wenn IP6 aus diesem Prefix ausgehend, schicke über VPN" und es kommt dann von dem Prefix des Hosting Providers das du durchgeroutet hast.

Aber wie gesagt, wie sich Windows Server da einfügt und was man an dem Anstellen muss, bin ich gerade auch überfragt :)

Bob.Dig

@JeGr said in Wie mittels OVPN IPv6 ausleiten:

Aber wie gesagt, wie sich Windows Server da einfügt und was man an dem Anstellen muss, bin ich gerade auch überfragt :)

Das höre ich in letzter Zeit öfters.

mike69

@JeGr

Die Sache wäre was für ein Tech-Stammtisch. :)

@Bob-Dig
Klinke mich hier mal ein. Habe sein knapp 3 Wochen einen VPS angemietet, erst mal zum kennenlernen, eventuell Mailserver, VPN, Cal- und CardDAV und was noch so kommt.

Du nutzt deine IP bzw. Domain vom VPS zum versenden und empfangen von Mails auf deinen Server@home?

Habe da eine Verständnisfrage:
Ein VPS hat doch normalerweise eine IPv4 und eine IPv6 IP. Als Beispiel, ein aaa.bbb.ccc.ddd/32 ist doch identisch wie ein /64 Präfix für eine IPv6 IP, wozu muss der Präfix erweitert werden, läuft doch alles über Ports, oder nicht? Haben ja auch nur eine IPv4 IP.

Oder ist da ein Denkfehler?

Mike

Bob.Dig

@mike69 Nur zum Versenden. Da mir als Laie die Vokabeln und auch etwas das Verständnis fehlen, versuche ich jetzt nicht deine anderen Fragen zu beantworten.

mike69

@Bob-Dig

Diese Ehrlichkeit ist erfrischend.
Dachte, Ich könnte von dir noch was lernen...

Bob.Dig

@mike69 said in Wie mittels OVPN IPv6 ausleiten:

Dachte, Ich könnte von dir noch was lernen...

Das Äquivalent zu /32 wäre /128. So.

mike69

@Bob-Dig

Na siehste :)

Danke.

JeGr

VPS bekommen meistens eine IP4 und ein /64er Prefix. Sehr selten, dass ein Anbieter nur eine IP4 und eine IP6 rausrücken und die IP6 mit /128 auflegen. Das ist im Normalfall auch einfach Vorgabe zumindest bei IPv6 von RIPE und Co.

Und klar läuft Mail über Ports, das ist ja gar nicht das Thema. Aber Bob will beim Versenden der Mail quasi sicherstellen, dass die Mail beim Empfänger Mailserver von der IP ankommt, die sein VPS hat. Da es aber kein NAT bei IPv6 gibt, bleibt also nur noch eine IP6 des Servers zu nutzen. Das geht aber nicht ohne weiteres und dazu kommt, dass es bei Windows auch nochmal schwerer wird. Daher ist die einfachste Lösung hier beim Provider einfach ein zweites /64er Prefix anzufragen, das auf den Server zu routen und von dort bis zu sich nach Hause über Transfernetz und OVPN Tunnel. Dann kann er das quasi daheim im LAN auflegen und wenn sein Mailserver was via v6 sendet kommt es beim Empfänger mit einer IP6 Adresse an, die zum Hoster gehört, nicht zu einem Privatanschluß. Gibt einige Blocklisten, die gepflegt werden und dynamische Adressbereiche und Prefixe ausschließen da diese durch das "angeblich so tolle und privacy freundliche rotieren" genauso gern genutzt wurden von Spammern um ständig neue IPs zu bekommen. Daher gibts mehrere große Mailcluster, die entweder im AntiSpam oder schon beim Verbindungsaufbau gegen Blocklisten filtern und entweder dann + auf den Spamwert draufhauen oder gar keine Verbindung aus dynamischen IP Bereichen von Telekom und Co annehmen.

Aber die Anmerkung mit Stammtisch erinnert mich an was... :)

mike69

@JeGr

Klick.

Die /64 vom VPS kann @Bob-Dig nicht nehmen, weil sie der VPS zugeteilt ist, brauch eine zweite /64 zum routen.

Edit:
Was für eine Verschwendung...

JeGr

@mike69 said in Wie mittels OVPN IPv6 ausleiten:

Was für eine Verschwendung...

mag sich so anfühlen, aber es gibt genug Prefixe als das wir die Wände damit pflastern können (zum einen), zum anderen können die Adressen ja durchaus auch vom Server selbst verwendet werden. Früher hatte man in den Anfangszeiten auch ein /24, /25er oder /26er o.ä. mit zu seiner Leitung bekommen. Heute muss man froh sein, wenn sie nicht dynamisch ist. Unsere erste SDSL 2Mbps Kupferader in der damaligen Firma da gabs die /24 obendrauf. Mussten wir dann selbst in 4 /26er segmentieren damit man da was Sinnvolles draus machen konnte, da sonst die ganzen Adressen vor der Firewall verschwendet worden wären. Und jetzt mit genug öffentlichen IP6 Adressen ist das "normale" Routing eben wieder zurück. Nur jeder ist so viele Bullshit Lösungen und so viele Workarounds gewohnt, dass man das ganz normale IP Routing fast nicht mehr kennt oder gewohnt ist. :)

mike69

@JeGr said in Wie mittels OVPN IPv6 ausleiten:

Nur jeder ist so viele Bullshit Lösungen und so viele Workarounds gewohnt, dass man das ganz normale IP Routing fast nicht mehr kennt oder gewohnt ist. :)

Da gebe ich Dir Recht, da ist umdenken angesagt. :)

Bob.Dig

@JeGr said in Wie mittels OVPN IPv6 ausleiten:

Genau deshalb sag ich ja, Anfrage stellen, brauche zweites Prefix für Virtualisierung/Docker/whatever. Normalerweise gibts das anstandslos.

Anstandslos vielleicht, aber netcup möchte 1€ pro Monat dafür.

Wenn es sonst nicht geht, bleibt es halt bei HE. Da konnte ich ja auch rDNS einstellen.

JeGr

@Bob-Dig said in Wie mittels OVPN IPv6 ausleiten:

Anstandslos vielleicht, aber netcup möchte 1€ pro Monat dafür.

Sollte man sie mal daran erinnern, dass laut RIPE einem Kunden für sein(e) Netze ein /60 bzw. /56 zur Verfügung zu stellen ist. Finde das schon ein wenig frech.