pfSense und IPv6: OpenVPN, Rules, Routes usw...

  • Rebel Alliance

    Nabend.

    Nachdem die Deutsche Glasfaser bereit ist, mitte nächsten Jahres uns mit einem Glasfaseranschluss zu beglücken, wird es langsam Zeit, sich mit IPv6 zu beschäftigen. :)
    DHCPv6 mit /56 Präfix und CGNAT für IPv4 sind dann deine Freunde.
    IPv6 soll statisch sein, d.h. nach einer Neueinwahl bleibt die IP. Aber da scheiden sich noch die Geister.

    Also erstmal üben...

    Aktuell läuft hier: DTAG Dual Stack, Vigor 130 als Bridged Modem, Einwahl und VLANID macht die Sense.

    Was soll laufen:
    -OpenVPN Server auf der Sense, somit Zugriff auf alle Subnets im LAN, idealerweise auf Devices, die IPv4 only sind, falls es das noch gibt, IoT Geraffel und so.
    -SSH Server mit Zugriff von Aussen.

    Nach der Anleitung und einem Reboot steht das v6 Netz, die Geräte (Android Smartphones) bekommen 2 IPv6 Adressen zugeteilt und nach einer "IPv6 allow any" Rule funzt auch das surfen.

    Zum Thema OpenVPN, jetzt geht das rumgestochere los.
    Darf der OpenVPN Server IPv6 only sein oder ist v4 + v6 besser? Dual Stack der DTAG ist es wohl egal, da beide IPs public sind. Aber wie ist es mit nativer IPv6 und CGNAT?
    Unser Domainbetreiber unterstützt DynDNS inkl. AAAA Records, IPv6 wird von der Sense aufgelöst. Ist es dann besser, OpenVPN als v6 only zu fahren? Wenn ja, wie komme ich auf die Geräte mit IPv4?

    Gleiches mit einem Zugang per SSH, v6 wird ootb unterstützt, Portweiterleitung eventuell. Wird nicht bei den aktuellen Providern regelmässig die IPv6 geändert? Wie läuft es dann mit der Portweiterleitung?

    Was meint Ihr?


  • Guten Abend Mike,

    habe selbst keine Erfahrung mit denen, würde mir aber wohl einen Portmapper bauen für Ipv4, da ich z.B. bei o2 bin und die kein IPv6 haben im Mobilfunk. Da das aber zusätzlich Geld kostet, könntest Du auch erst mal IPv6-Only(eingehend) fahren und gucken, ob das alltagstauglich ist. Wenn bis dahin auch pfSense 2.5 final ist, da dürfte der IPv6 Support noch mal etwas besser ausgebaut sein.
    Wenn ich Jens richtig in Erinnerung habe, kannst Du auch problemlos IPv4 im Heimnetz fahren und per IPv6 einen VPN-Tunnel aufbauen und dich überallhin verbinden.

    Wobei wohl die pfSense selbst kein DS-Lite unterstützt und die Glasfaser vielleicht genau das fahren...

  • Rebel Alliance

    @bob-dig said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    da ich z.B. bei o2 bin und die kein IPv6 haben

    Echt jetzt? Na jetzt kann ich mir vorstellen, warum das v6 only OpenVPN mit dem Smartphone keine Verbindung aufbaut, nutze ebenfalls das o2/E+ Netz.

    Haben einen VPS angemietet, mit statischen IPs, da wäre eine VPN-Verbindung zum Heimnetz kein Problem. Muss mich da noch reinfuchsen, wahrscheinlich mit OpenVPN, bei IPSec weiss ich nicht, wie das mit den virtuellen Kernen läuft.

    Versuche mit DynDNS über RFC 2136 sind mangels Konfigurierbarkeit am VPS kläglich gescheitert.


  • @mike69 Yup, 100%. Telekom und Vodafone machen IPv6, Telefonica nicht.


  • @mike69 said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    Haben einen VPS angemietet, mit statischen IPs, da wäre eine VPN-Verbindung zum Heimnetz kein Problem. Muss mich da noch reinfuchsen, wahrscheinlich mit OpenVPN,

    Das einfachste wäre wohl pfSense auf dem VPS aufzusetzen, dann die beiden miteinander zu verbinden. Oder den OpenVPN Access Server, ich denke, der bietet das auch.
    Mehr geht dann aber jeweils nicht.

  • Rebel Alliance

    @bob-dig said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    Das einfachste wäre wohl pfSense auf dem VPS aufzusetzen, dann die beiden miteinander zu verbinden.

    Extra pfSense wg. einer VPN-Verbindung auf einem VPS installieren? Bissl oversized, oder? :)


  • @mike69 Aber einfach, was ich mag. Auch ist es nicht nur eine OpenVPN-Verbindung, Du brauchst auch noch Routing, nämlich allen Traffic an den VPS in die OpenVPN-Verbindung zu leiten, das macht OVPN nicht alleine. Aber ja, das OS kann das in der Regel machen, muss man sich eintüffteln. 😉

  • LAYER 8 Moderator

    @mike69 said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    @bob-dig said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    Das einfachste wäre wohl pfSense auf dem VPS aufzusetzen, dann die beiden miteinander zu verbinden.

    Extra pfSense wg. einer VPN-Verbindung auf einem VPS installieren? Bissl oversized, oder? :)

    Ja nun... kommt man günstig an eine v4 Adresse ran ;) und hat meist gleich noch ein oder mehrere statische v6 Prefixe wenn der Provider mal wieder schlampt... hust
    Und die kleinsten Cloud Büchsen gibts ja inzwischen für 2-3€ im Monat problemlos.

    Darf der OpenVPN Server IPv6 only sein oder ist v4 + v6 besser? Dual Stack der DTAG ist es wohl egal, da beide IPs public sind. Aber wie ist es mit nativer IPv6 und CGNAT?

    Darf er schon. Problem wirst du nur haben, wenn du irgendwo bist, wo IPv6 eben nicht existiert. Dann hast du das Problem, dass du keine Verbindung aufbauen kannst. Und leider sind das immer noch einige Firmen die hartnäckig Dualstack verweigern. Wenn du dann in irgendeinem Cafe WLAN sitzt, das kein IPv6 kennt weil 08/15 Dummbeutel-Setup vom Portal Provider, dann guckst du doof.

    Rein technisch: du kannst problemlos OpenVPN via IPv6 aufbauen und darüber v6 UND v4 Adressen tunneln/routen. Gar kein Ding. Geht auch umgekehrt, also v6 via v4 OVPN Link. Muss eben nur entsprechend der Tunnel konfiguriert sein. Aber gehen tut das, gar kein Ding, denn dein Rechner bekommt bei der Verbindung auf sein Tunnel-Interface die IP4/IP6 vom VPN Setup. Und wenn du als Tunnel Netze sauber 4/6 konfiguriert sind, dann ist das drübertunneln gar kein Ding.

    Aber wie gesagt, bei CGNAT kannst du DynDNS vergessen, weil die das nicht zurück auf deine Kiste NATten werden, es sei denn du kannst bei DG das irgendwie "einkaufen", dass sie dir ne eindeutige ausgehende IP4 zuweisen, die du zwar nicht siehst (wegen CGNAT), auf deren IP aber du die Rückpakete (à la exposed host) immer abbekommst. Glaube ich aber leider nicht dass sie das machen. :(

  • Rebel Alliance

    @jegr said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    Ja nun... kommt man günstig an eine v4 Adresse ran ;) und hat meist gleich noch ein oder mehrere statische v6 Prefixe wenn der Provider mal wieder schlampt... hust
    Und die kleinsten Cloud Büchsen gibts ja inzwischen für 2-3€ im Monat problemlos.

    Meinte die Installation von pfSense auf eine der Büchsen. :)
    So ne "Büchse" ist vorhanden, inkl. statischer v4 und v6 IP mit /64 Präfix. Kann man damit was anfangen?
    Gibt es HowTos zu diesem Thema, was zum einlesen? Hat das schon jemand gemacht?
    Ein OpenVPN Server auf dem VPS einrichten, damit die Sense sich da verbinden kann, das bekomme ich hin. Der Rest wird tricky...

    @jegr said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    es sei denn du kannst bei DG das irgendwie "einkaufen", dass sie dir ne eindeutige ausgehende IP4 zuweisen, die du zwar nicht siehst (wegen CGNAT), auf deren IP aber du die Rückpakete (à la exposed host) immer abbekommst. Glaube ich aber leider nicht dass sie das machen. :(

    Bahnhof... :)
    Soweit ich weiss bekommen Business Anschlüsse eine feste IPv4. In den einschlägigen Foren habe ich noch keinen Privatkunden gefunden, der IPv4 bekommen hat. :)

    @jegr said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    Aber wie gesagt, bei CGNAT kannst du DynDNS vergessen, weil die das nicht zurück auf deine Kiste NATten werden

    Hab noch ne Domain bei Strato, sie bieten DynDNS an und lösen IPv6 auf. Daher die Frage zum IPv6 only OpenVPN Server auf der Sense. Das Telefonica noch kein v6 nutzt ist blöd, werde mir dann nen Kopf machen wg. Netzwechsel. Wird eh noch dauern bis hier gebuddelt wird.


  • @mike69 Möchtest Du pfSense auf ein VPS installieren und als "Portmapper" benutzen? Ich vermute das wird keinerlei Probleme machen.
    Oder willst Du nur OVPN als Portmapper auf irgendein OS auf einem VPS installieren? Das wird etwas schwieriger, aber auch lösbar, nur nicht mit mir. ^^

  • Rebel Alliance

    @bob-dig

    Moin Bob.

    Ja, letzteres. :)

    Der V-Server läuft mit Debian 10, OpenVPN ist installiert und mit dem Notebook kann eine Verbindung aufgebaut werden. Bekomme je eine v4 und v6 IP zugeordnet, soweit alles tutti... hoffendlich. :)

    Werde die nächsten Tage die Sense konfigurieren, dann brauche ich paar Tips zum Thema Routing. Irgendwie muss ja jemand wissen, wann eine SSH Anfrage auf dem Home Server ins LAN geroutet werden soll. Genauso auf der Seite der pfSense, nicht auf jedes Subnet soll zugegriffen werden.

    @bob-dig said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    Das wird etwas schwieriger, aber auch lösbar, nur nicht mit mir. ^^

    Auch wenn nicht jeder auf alles eine Antwort haben kann, bin dennoch dankbar für deine Hilfen. :)

  • Rebel Alliance

    Moinsen @All

    Ein kleines Feedback zwischendurch, der Mobilfunkbetreiber hat den Vertragswechsel auf das D2 Netz heute durchgeführt. Der Zugriff auf das LAN über OpenVPN per IPv6 funzt und kann wie erwartet auf die IPv4 Hosts zugreifen. Damit wäre die erste Hürde überwunden. :)

    @jegr said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    Darf er schon. Problem wirst du nur haben, wenn du irgendwo bist, wo IPv6 eben nicht existiert. Dann hast du das Problem, dass du keine Verbindung aufbauen kannst. Und leider sind das immer noch einige Firmen die hartnäckig Dualstack verweigern. Wenn du dann in irgendeinem Cafe WLAN sitzt, das kein IPv6 kennt weil 08/15 Dummbeutel-Setup vom Portal Provider, dann guckst du doof.

    Dann switch ich eben auf das mobile Netz, was soll ich sonst machen. :)
    Wird ja kein Traffic erzeugt, bissl Temperaturen abfragen, Ertrag der PV-Anlage einsehen, nicht kriegsentscheidendes.

    Möchte die Sache mit der Cloud Büchse und das tunneln zur pfSense nochmal aufgreifen, da bis jetzt keiner schreit "Jo, habe ich, geile Sache, beste was es gibt" gehe ich davon aus, dass es hier kaum einer oder keiner nutzt? :)

    Mir stellt sich die Frage, wer unter OpenVPN Client oder Server werden darf. Was macht mehr Sinn?
    Am einfachsten von der Konfiguration her ist der VPS der Client, einfach unter der Sense den Clienten exportieren und die .ovpn Datei rüberschieben zum v-server, fettisch.
    Der VPS kann dann wie jeder anderer Client auf die freigegebenen Ressourcen zugreifen. Ist der VPS kompromittiert, passiert das dem LAN hinter der Sense auch? :(

    Gibt es da Meinungen zu? Bin doch nicht der einzige, das so ein Scenario darstellen möchte, oder? :)

    Im Netz gibt es eine Anleitung, wie ein IPv4 Tunnel mittels GRE aufgebaut wird. Da wird auf dem VPS eine 2te IPv4 erwartet, würde hier 3 Taler mehr im Monat kosten. Wäre eine Alternative zur einer VPN Lösung.

  • LAYER 8 Moderator

    @mike69 Beschreib mir doch mal kurz was du mit der VPS Büchse machen willst?
    Eventuell baue ich das demnächst mal. Ich hab noch eine Cloud Instanz die bisher ein Proxmox Test war, da das auf der Kiste aber eher suboptimal läuft, will ich die eh abschalten, dann kann ich vorher auch mit nem VPN drauf spielen.

  • Rebel Alliance

    @jegr

    Der Wunsch ist, einigen Hosts im LAN eine public IPv4 zur Verfügung zu stellen, Glasfaser Deutschland verteilt nur IPv6 öffentlich und IPv4 über CGNAT. Gebucht ist die Option "eigener Router", also NT direkt an die Sense.

    Als Beispiel die PS4, welche per Portweiterleitung und/oder Outbound Rule von aussen erreichbar sein soll. Mit v4/v6 läuft es nicht sauber, laufen schmieren die Games ab, weil Sony und/oder einige Spiele Publisher noch IPv4 only haben sollen. v6 im Gaming Subnet deaktiviert läuft seit 3 Tagen störungsfrei. Kann auch sein, dass meine Konfig verbockt ist, ich weiss es nicht.

    VPN über IPv6 geht, da sehe ich keine Probleme.

    VoIP:
    Unsere Hardware kann nur IPv4 (Gigaset GO-Box 100), eventuell ist es möglich, das sauber zu tunneln/routen. Wenn nicht, muss ne neue Hardware her, oder ich reaktiviere die alten Fritzboxen. :)

  • LAYER 8 Moderator

    @mike69 Ja das versteh ich ja alles, ich wollte wissen, was du genau mit dem VPS vor hast und was das dann genau werden soll. Willst du die IP4 vom VPS quasi durchmappen als externe IP von dir weil du keine bekommst oder wie verstehe ich das?

  • Rebel Alliance

    @jegr said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    Willst du die IP4 vom VPS quasi durchmappen als externe IP von dir weil du keine bekommst oder wie verstehe ich das?

    Ja, genau. :)
    Muss devinitiv an meiner Kommunikation arbeiten. Dachte, das wäre zu erkennen. 😂

    Idealerweise parallel mit anderen Diensten (Mail, CalDAV, CardDAV), wenn so was sauber zu lösen ist.

  • LAYER 8 Moderator

    @mike69 said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    @jegr said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    Willst du die IP4 vom VPS quasi durchmappen als externe IP von dir weil du keine bekommst oder wie verstehe ich das?

    Ja, genau. :)
    Muss devinitiv an meiner Kommunikation arbeiten. Dachte, das wäre zu erkennen. 😂

    Idealerweise parallel mit anderen Diensten (Mail, CalDAV, CardDAV), wenn so was sauber zu lösen ist.

    Okay :) Kann ich so zwar nur bedingt testen, weil ich glücklicherweise (noch) überall DualStack habe, aber ich schau mal. Hab gestern meine eine Hetzner Cloud Instanz umformatiert auf pfSense und werde mal sehen, ob ich das sauber durchtunneln kann, gehe aber davon aus, dass es genauso funktioniert wie üblich :)


  • @jegr Mike will aber über sein debian tunneln und port-mappen.

  • Rebel Alliance

    @jegr said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    Okay :) Kann ich so zwar nur bedingt testen, weil ich glücklicherweise (noch) überall DualStack habe, aber ich schau mal.

    Ist auch noch vorhanden. Bis die buddeln vergeht garantiert noch ne Ewigkeit. :) Deswegen kann ich in Ruhe testen, habe keinen Zeitdruck.

    @bob-dig said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    @jegr Mike will aber über sein debian tunneln und port-mappen.

    Mike will eine public IPv4 für sein LAN, egal wie.😁

    ionos bietet übrigens eine mini v-Server für 1 € im Monat an, inkl. eine IPv4 und IPv6 Adresse. Gleich mal gebucht, für ne Kiste Bier ein Jahr lang ne public IPv4. :)

  • LAYER 8 Moderator

    @bob-dig said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    @jegr Mike will aber über sein debian tunneln und port-mappen.

    Völlig egal. Was auf dem VPS läuft ist doch rille. Ob ich da jetzt pfSense drauf werfe damit der VPN Teil einfacher ist oder ob ich händisch OpenVPN installiere und dann mit IPTables oder sowas rumgurke und irgendwelche Portweiterleitungen mache (bitte nicht mehr Portmapping, das erinnert zu sehr an portmapper und DAS ist was anderes).


  • @mike69 said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    ionos bietet übrigens eine mini v-Server für 1 € im Monat an, inkl. eine IPv4 und IPv6 Adresse. Gleich mal gebucht, für ne Kiste Bier ein Jahr lang ne public IPv4. :)

    Kann man da pfSense drauf installieren oder ist man auf die Vorgaben auf der Produkt-Seite begrenzt? Und wie sieht es mit dem Traffic aus? :)

    @jegr said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    Völlig egal.

    Dir vielleicht, aber es muss ja noch entsprechend konfiguriert werden.

    Außerdem, nehmen wir mal an, der vServer mit z.B. Debian soll mittels OpenVPN fast allen eingehenden Traffic an eine pfSense @ home weiterleiten, wie würde man diese Funktionalität nennen? Portmapper passt nicht mehr, weil es nicht nur einzelne Ports sein sollen? Nehmen wir außerdem an, dass etwas auf dem Debian noch gehostet wird, was dann natürlich nicht weiter an die pfSense geleitet werden soll.

  • LAYER 8 Moderator

    @bob-dig said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    Kann man da pfSense drauf installieren oder ist man auf die Vorgaben auf der Produkt-Seite begrenzt? Und wie sieht es mit dem Traffic aus? :)

    Keine Ahnung, ich hab von https://www.hetzner.com/cloud ein paar CX11. Das sind ja schon virtuelle Instanzen (QEMU/KVM) auf ner potenten Hardware (Skylake Xeon). Reicht mir dicke. Und kann ich hoch/runterskalieren wie ich will :) Das Cloud Dashboard ist da wesentlich mächtiger als das ganze alte Konsole Geraffels was man früher hatte. Vor allem haben die gleich 20GB SSD und 2GB RAM und fangen nicht mit so Murks wie 512MB RAM an. Verstehe nicht warum das 2021 noch so ein Ding ist, mit nem halben Gigabyte RAM rumzukaspern. Aber ist eben 1&1 ;) Zumal man 2€ mehr zahlen soll (3€ also) für 1GB RAM. Was denn das für ne Rechnung? :D

    Ich hab da jetzt auf die Schnelle nichts gesehen, wo man eine Konsole bekommt um selbst was installieren zu können. Wenns da nix gibt, wirst du auch nichts anderes drauf bekommen als das was die automatisch deployen - also Linux.

    Bei Hetzner bekommst du das Standard Deployment auch mit Linux, kannst danach dann aber im Dashboard ein ISO auswählen das gebootet wird (wo es pfSense und OPNsense bereits gibt!) - das auswählen, reboot einleiten und dann entspannt mit HTML5 Konsole einfach installieren worauf man Lust hat. So ging auch Proxmox aber das ist dann wegen dem IP Setup eher nicht sooo superlustig ;)

    Dir vielleicht, aber es muss ja noch entsprechend konfiguriert werden.

    OpenVPN Server Konfiguration braucht man nur einmal. Wo man die erstellt - völlig egal wie beschrieben. Da kann ich dann auch die pfSense Installations CFG nehmen und auf nem Linux System reinwerfen und starten, das verhält sich genauso. 😃

    Außerdem, nehmen wir mal an, der vServer mit z.B. Debian soll mittels OpenVPN fast allen eingehenden Traffic an eine pfSense @ home weiterleiten

    Was heißt denn jetzt "fast alles"?

    Wie würde man diese Funktionalität nennen?

    IP Forwarding wie auch Linux selbst die Funktion nennt? 😉
    Der sysctl call für Routing, der benötigt wird wenn ein Linux System anfängt zu routen und Traffic zu forwarden heißt ja nicht umsonst net.ipv4.ip_forward=1

    Nehmen wir außerdem an, dass etwas auf dem Debian noch gehostet wird, was dann natürlich nicht weiter an die pfSense geleitet werden soll.

    Dann leitest du auch nicht "alles" oder "fast alles" weiter. Dann leite ich einfach das weiter was ich haben will an Ports. Man kann eben nicht alles haben, à la ich leite alles weiter aber dann eben doch nicht gaaanz alles. Wenn du das mit IPTables oder %wasauchimmer% machst auf nem Debian (IPTables oder NFTables dann wahrscheinlich, ggf. mit Aufsatz wie UFW o.ä.) bin ich mir gerade unschlüssig, ob die sowas wie BINAT so einfach machen (können). Dazu bin ich zu lang aus dem IPtables Kram raus. Aber dann kommt es auch auf deinen Einsatzzweck an: wenn dann auf dem VPS noch der halbe Serverkram läuft und dies und das und Ananas, dann mach ich da kein VPN drüber, dessen Ziel es ist die IP4 für mich daheim zu haben 😁 Irgendwo ist multi-purpose zwar nett, aber dann muss man eben Abstriche machen - oder du kaufst dir noch ne IP4 dazu wenns geht :) Dann kannste dir die auch komplett krallen und dein LAN drüber abwickeln 😄

    Portmapper passt nicht mehr, weil es nicht nur einzelne Ports sein sollen?

    Nein, Portmapper ist EIN DIENST/Service der GENAU so heißt und deshalb sollte man den Ausdruck schlicht nicht verwenden im Zusammenspiel mit "ich will XYZ auf Linux mit Portmapper bla". Denn dann wird jemand, der sich mit Linux Systemen und dem Portmapper auskennt auf dem völlig falschen Gleis sein. Zudem "mappst" du keine Ports. Du klebst die nicht irgendwo drauf. Mapping wäre bspw. das X-zu-Y Portmapping von Docker, wo du vom Dockerhost in den Container rein einen Port mapst, bei dem aber verschiedene Ports im Spiel sein können (8001 auf den Container Namespace auf Port 80 bspw.) Du leitest sie aber weiter (meist auf ein anderes System). Weshalb das auch bei den Sensen Port Forwarding heißt. Oder eben in altem Jargon bzw. IPTables und Co Syntax "Masquerading".

    Darum redet man einfachsten von Weiterleiten oder weniger oft auch routen von Ports aber im Kontext IP/Weiterleitung nicht von mappings. 🙂


  • Es würde quasi ein exposed host benötigt werden, alles, was aktuell nicht gebraucht wir, durchleiten. 😉

  • LAYER 8 Moderator

    @bob-dig said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    Es würde quasi ein exposed host benötigt werden, alles, was aktuell nicht gebraucht wir, durchleiten.

    Jup deshalb fände ich eine pfSense auf dem VPS auch gar nicht verkehrt ;) Im Gegensatz zu IPTables was ich gerade nicht weiß ists bei PF eben recht einfach nen BINAT zu machen und danach dann einzelne Ports doch nicht durchzumappen bzw. mit vorgeschalteten Forwards doch noch abzugreifen und auf localhost zu schieben.

    Geht sicher mit irgendeinem komischen Gedöns bei IPtables auch, aber wie gesagt steck ich gerade nicht wirklich drin :)


  • @jegr Hab mal gerade unter meinem heiß geliebten Windows geguckt, da habe ich es aber auch nur für einzelne Ports gefunden und nicht für alles oder den Rest.

  • LAYER 8 Moderator

    @bob-dig Windows direkt ans Netz? Jaaaa.... NEEEE 😁

  • Rebel Alliance

    @jegr said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    Vor allem haben die gleich 20GB SSD und 2GB RAM und fangen nicht mit so Murks wie 512MB RAM an. Verstehe nicht warum das 2021 noch so ein Ding ist, mit nem halben Gigabyte RAM rumzukaspern. Aber ist eben 1&1 ;) Zumal man 2€ mehr zahlen soll (3€ also) für 1GB RAM. Was denn das für ne Rechnung? :D

    Für ne pfSense Installation ist das echt mager, gebe ich Dir Recht. Aber ein bissl routen, alles durchschieben oder ne OpenVPN Instanz, das braucht nicht die Welt an RAM...

    Und wenn das ein Schuss in den Ofen ist und nicht reicht, habe ich 12 Euro versengt...für ein Jahr. Bricht mir nicht das Genick und ein Versuch war es Wert.

    Man legt im Idealfall auch nur einmal die Hand an, das wars.

  • LAYER 8 Moderator

    @mike69 said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    Für ne pfSense Installation ist das echt mager, gebe ich Dir Recht. Aber ein bissl routen, alles durchschieben oder ne OpenVPN Instanz, das braucht nicht die Welt an RAM...

    Nö aber RAM ist so ein Ding, was man NIE zu wenig und NIE zu viel haben kann :) Ne CPU langweilt sich. RAM braucht man immer :D

    Wie gesagt mit iptables kann man viel Schweinereien machen, mich würde wundern, wenn man nicht einfach dreckig alle Ports der IP weiterschieben kann. Aber wie es im Einzelnen geht, müsste man nachlesen. Wichtiger war mir erstmal OVPN Server Konfig zu haben und meine Seite dann so zu haben, dass alles geht. Wenn man dann den Server tauscht muss man nur an einer Stelle suchen und drehen - dem VPS - und nicht an beiden Seiten nochmal rumsuchen. :)

  • Rebel Alliance

    @jegr

    Das stimmt, RAM ist grundsätzlich zu wenig. :)

    Zum Thema OpenVPN, besser die Sense @home als Server betreiben? Oder den Server auf der VPS? Bin mir da nicht sooo sicher. Ersteres wäre einfacher...
    Eine 2te v6 only OVPN Instanz auf der Sense starten, Client exportieren und auf dem vps importieren, IPv4 durch den Tunnel routen, fettisch. 😀

    Übrigens ist es kein Problem , Ipv4 komplett durchzuleiten. kannst ja immer noch per v6 eine ssh Verbindung aufbauen. Ob das aber ne saubere Lösung ist, müsst ihr was dazu sagen.

  • LAYER 8 Moderator

    @mike69 said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    Zum Thema OpenVPN, besser die Sense @home als Server betreiben? Oder den Server auf der VPS? Bin mir da nicht sooo sicher. Ersteres wäre einfacher...

    Prinzipiell egal aber ich würde eher ein RZ System zum Server machen als deins zu Hause. Das läuft eher "durch" und konstant als deins.

    @mike69 said in pfSense und IPv6: OpenVPN, Rules, Routes usw...:

    Übrigens ist es kein Problem , Ipv4 komplett durchzuleiten. kannst ja immer noch per v6 eine ssh Verbindung aufbauen. Ob das aber ne saubere Lösung ist, müsst ihr was dazu sagen.

    Das ist gar nicht mein Problem, sondern dass ich nicht weiß ob/wie die dazugehörige Syntax in iptables aussehen würde ;) Daher sag ich ja, je nachdem was als Filter auf dem VPS läuft, kann das gehen oder eher weniger gut.

    Und ob Server oder Client ist jetzt nicht soo schwierig, so unterschiedlich sind die nicht konfiguriert.

  • LAYER 8 Moderator