18
Konfiguration von EdgeRouter, Einrichtung WireGuard-Server auf RasPi (IPv4 + IPv6)
Hallo, ich habe vor auf einem "Raspberry Pi" einen WireGuard-Server einzurichten,
um mich von extern (über das Internet) per Smartphone dort einzuwählen und dann sämtlichen IP-Traffic (IPv4 + IPv6) durch
diesen WireGuard-VPN-Tunnel zu tunneln.
Nach der VPN-Einwahl soll das Smartphone dann über den VPN-Tunnel WebSurfing machen können,
also der Aufruf von Webseiten (TCP-Port 80 + 443 ) soll möglich sein. Es sollen IPv4- als auch IPv6-Webserver angesprochen
werden können.
Der RasPi, auf dem ich den WireGuard-Server installieren möchte, hängt hinter einem "EdgeRouter X" von Ubiquiti,
welcher selbst hinter einer FritzBox angeschlossen ist.
Hier mal eine Skizze des Netzwerks:
Internet ----- FritzBox (192.168.178.1/24) ----- (192.168.178.2/24)(eth0) EdgeRouter (eth2)(192.168.2.1/24) ----- (192.168.2.4/24)RasPi(WireGuard-Server)
Der RasPi ist also an "eth2" des EdgeRouters angeschlossen im Netz 192.168.2.0/24 mit der IP-Adresse 192.168.2.4/24.
Die IPv4-Konfiguration des WireGuard-Servers macht mir keine Sorgen, das bekomme ich ohne Unterstützung hin.
Jedoch bin ich noch kein Experte in Sachen "IPv6", da brauche ich etwas Hilfe.
Meine FritzBox hängt an einem DualStack-Anschluss und hat deshalb neben einer öffentlichen IPv4-Adresse auch eine öffentliche IPv6-Adresse.
Mein Anbieter hat mir folgendes neben der öffentlichen IPv6-Adresse auch ein öffentliches "/56"-IPv6-Netz zur freien Verwendung zur Verfügung gestellt
nach dem Schema (xxxx:xxxx:xxxx:xx00::/56)
Auf "eth2" bekommt der EdgeRouter bereits eine öffentliche IPv6-Adresse nach dem Schema xxxx:xxxx:xxxx:xxfd::1/64.
Folgende Fragen treten nun bei mir auf:
1. Benötigt der "RasPi" auf seiner Netzwerkkarte eine öffentliche IPv6-Adresse aus dem IPv6-Netz des "EdgeRouters",
also eine IPv6-Adresse aus dem Netz xxxx:xxxx:xxxx:xxfd::/64?
Ich könnte dem "RasPi" ja zum Beispiel die xxxx:xxxx:xxxx:xxfd::2/64 geben!?
2. Welches IPv6-Netz könnte ich für das WireGuard-VPN verwenden?
Ist beispielsweise bei mir folgendes IPv6-Netz zur Verwendung als VPN-Netz möglich: xxxx:xxxx:xxxx:xxfe::/124?
Bei Rückfragen etc. gerne nachfragen, hoffe mein Vorhaben verständlich erklärt zu haben.
Freue mich auf Eure Rückmeldungen
.
MfG, Datax
um mich von extern (über das Internet) per Smartphone dort einzuwählen und dann sämtlichen IP-Traffic (IPv4 + IPv6) durch
diesen WireGuard-VPN-Tunnel zu tunneln.
Nach der VPN-Einwahl soll das Smartphone dann über den VPN-Tunnel WebSurfing machen können,
also der Aufruf von Webseiten (TCP-Port 80 + 443 ) soll möglich sein. Es sollen IPv4- als auch IPv6-Webserver angesprochen
werden können.
Der RasPi, auf dem ich den WireGuard-Server installieren möchte, hängt hinter einem "EdgeRouter X" von Ubiquiti,
welcher selbst hinter einer FritzBox angeschlossen ist.
Hier mal eine Skizze des Netzwerks:
Internet ----- FritzBox (192.168.178.1/24) ----- (192.168.178.2/24)(eth0) EdgeRouter (eth2)(192.168.2.1/24) ----- (192.168.2.4/24)RasPi(WireGuard-Server)
Der RasPi ist also an "eth2" des EdgeRouters angeschlossen im Netz 192.168.2.0/24 mit der IP-Adresse 192.168.2.4/24.
Die IPv4-Konfiguration des WireGuard-Servers macht mir keine Sorgen, das bekomme ich ohne Unterstützung hin.
Jedoch bin ich noch kein Experte in Sachen "IPv6", da brauche ich etwas Hilfe.
Meine FritzBox hängt an einem DualStack-Anschluss und hat deshalb neben einer öffentlichen IPv4-Adresse auch eine öffentliche IPv6-Adresse.
Mein Anbieter hat mir folgendes neben der öffentlichen IPv6-Adresse auch ein öffentliches "/56"-IPv6-Netz zur freien Verwendung zur Verfügung gestellt
nach dem Schema (xxxx:xxxx:xxxx:xx00::/56)
Auf "eth2" bekommt der EdgeRouter bereits eine öffentliche IPv6-Adresse nach dem Schema xxxx:xxxx:xxxx:xxfd::1/64.
Folgende Fragen treten nun bei mir auf:
1. Benötigt der "RasPi" auf seiner Netzwerkkarte eine öffentliche IPv6-Adresse aus dem IPv6-Netz des "EdgeRouters",
also eine IPv6-Adresse aus dem Netz xxxx:xxxx:xxxx:xxfd::/64?
Ich könnte dem "RasPi" ja zum Beispiel die xxxx:xxxx:xxxx:xxfd::2/64 geben!?
2. Welches IPv6-Netz könnte ich für das WireGuard-VPN verwenden?
Ist beispielsweise bei mir folgendes IPv6-Netz zur Verwendung als VPN-Netz möglich: xxxx:xxxx:xxxx:xxfe::/124?
Bei Rückfragen etc. gerne nachfragen, hoffe mein Vorhaben verständlich erklärt zu haben.
Freue mich auf Eure Rückmeldungen
.MfG, Datax
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 498178
Url: https://administrator.de/contentid/498178
Printed on: April 20, 2024 at 10:04 o'clock
18 Comments
Latest comment
ich habe vor auf einem "Raspberry Pi" einen WireGuard-Server einzurichten,
Hier steht wie es geht:Siehe auch: Merkzettel: VPN Installation mit Wireguard
Oder
https://www.heise.de/select/ct/2019/5/1551091519824850
https://www.heise.de/ratgeber/Einen-eigenen-VPN-Server-mit-WireGuard-bau ...
Das solltest du erstmal so umsetzen !
Jedoch bin ich noch kein Experte in Sachen "IPv6", da brauche ich etwas Hilfe.
https://danrl.com/projects/ipv6-workshop/Durchlesen, verstehen und die Übungen mit dem RasPi nachvollziehen. Dann hier fragen was du konkret vorhast.
Setze erstmal die IPv4 Konfig um um das zum Fliegen zu bringen.
auch ein öffentliches "/56"-IPv6-Netz zur freien Verwendung zur Verfügung gestellt
Das ist normal. Das bekommen so gut wie alle Endkunden deren Provider IPv6 supportet und dieses /56er Netz dann per Prefix Delegation an den Kunden Router gibt.Dieses Netz musst du dann von der FB auch per Prefix Delegation z.B. mit einem /60er Prefix an den kaskadierten Router weitergeben der sie dann als /64er auf die Ports gibt. Guckst du hier:
https://blog.veloc1ty.de/2019/05/26/pfsense-opnsense-ipv6-delegation-fri ...
Zu deinen Fragen:
1.)
Nein. Im Grunde ist ein VPN bei IPv6 ja überflüssig, da du ja als Heimnetz auch ein öffentliches IPv6 Netz bekommst. Du bist also quasi per v6 auch so von überall direkt erreichbar. Private RFC 1918 IP Netze wie bei v4 gibt es da ja nicht.
Du brauchst also im Grunde rein nur routen um das Netz zu erreichen. Ein VPN ist also quasi überflüssig. Natürlich solltest du dann ein Protokoll verwenden das die Daten verschlüsselt überträgt also HTTPS, SSH, SSL, IPsec usw.
IPv6 mit Prefix Delegation hat aber noch ein ganz anderes Problem.
Die Prefix Delegation ist nicht fest. Sie ändert sich alle paar Tage, sprich alle paar Tage bekommst du ein neues IPv6 /56 Subnetz zugeteilt. Sowas ist natürlich fatal wenn du einen Server betreibst was die Erreichbarkeit anbetrifft. Siehe hier:
https://www.heise.de/select/ct/2018/19/1536650923067816
Bringe den Wireguard besser erstmal mit IPv4 zum Laufen. Da macht es auch Sinn.
2.)
Siehe 1.
Du darfst da natürlich keine der öffentlich vergebenen v6 Adresse nutzen.
Lediglich für den internen Tunnel könntest du Adressen aus einem reservirtem reinen Testbereich nehmen fc00::/7
https://de.wikipedia.org/wiki/IPv6#Unique_Local_Unicast
Starte wie gesagt mit v4 erstmal.
Denk dran das du bei v4 durch das doppelte NAT was du hast dort 2 Mal den Wireguard Traffic (Default UDP 1194) per Port Forwarding auf das interne LAN (RasPi) forwarden musst. Dieses Tutorial erklärt das Prinzip:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Außerdem brauchst du zusätzlich eine statische v4 Route auf dem Edge Router ins Zielnetz via RasPi IP.
Das Prinzip ist hier erklärt:
OpenVPN Server installieren auf pfSense Firewall, Mikrotik. DD-WRT oder GL.inet Router
(Schaubild am Schluß des Kapitels !)
Hi danke für deine Rückmeldung .
Warum ist ein VPN in meinem Fall überflüssig? Wie meinst das?
Mein Ziel ist mich per Smartphone von extern eine VPN-Verbindung herzustellen,
wenn ich mal in einem (unsicheren) WLAN sein sollte. Für diesen Fall möchte ich dann den verschlüsselten WireGuard-VPN-Tunnel aufbauen und dann über meinen privaten Internetanschluss zu Hause (also quasi über meine FritzBox) WebSurfing machen.
Ja, das stimmt. Das hatte ich im Hinterkopf, wobei ich da auch noch nicht weiß,
was man da machen kann. Den Heise-Artikel kann ich leider nicht vollständig lesen,
weil ich kein Heise-Abonnent bin ;).
Das kriege ich hin, habe ich in der Vergangenheit bereits mehrfach erfolgreich hinbekommen.
Wie gesagt, nur die IPv6-Geschichte war mir noch nicht ganz klar.
Hm, okay. Warum nicht?
Wenn ich für die VPN-Clients IPv6-Adressen aus dem "Unique Local Unicast"-Adressbereich verwende,
dann müssen die IPs der VPN-Clients doch noch auf eine öffentliche IPv6-Adresse genattet werden oder nicht!?
Deshalb braucht doch der RasPi auch eine öffentliche IPv6-Adresse,
auf die die VPN-IPs genattet werden können oder nicht!?
Ich kenne eine OpenVPN-Anleitung, wo der Autor ein öffentliches IPv6-Netz an die VPN-Clients vergibt.
Das ist ja eigentlich nur notwendig, wenn jeder VPN-Clients eine eigene öffentlich erreichbare v6-IP-Adresse bekommen soll.
Für WebSurfing ist das natürlich nicht notwendig.
Hier der Link zur OpenVPN-Anleitung, die ich meine:
https://www.techgrube.de/tutorials/openvpn-server-mit-ipv4-und-ipv6
Ja, okay.
Denk dran das du bei v4 durch das doppelte NAT was du hast dort 2 Mal den Wireguard Traffic (Default UDP 1194) per Port Forwarding auf das interne LAN (RasPi) forwarden musst. Dieses Tutorial erklärt das Prinzip:
Also WireGuard hat meines Wissens den Standard-Port 51820 (UDP),
der Port 1194 (UDP) ist der Default-Port bei OpenVPN.
Ein Port Forwarding brauche ich doch nur auf der FritzBox, also genau ein Port Forwarding.
Auf dem EdgeRouter wird nicht erneut genattet.
.Zitat von @aqui:
Zu deinen Fragen:
1.)
Nein. Im Grunde ist ein VPN bei IPv6 ja überflüssig, da du ja als Heimnetz auch ein öffentliches IPv6 Netz bekommst. Du bist also quasi per v6 auch so von überall direkt erreichbar. Private RFC 1918 IP Netze wie bei v4 gibt es da ja nicht.
Du brauchst also im Grunde rein nur routen um das Netz zu erreichen. Ein VPN ist also quasi überflüssig. Natürlich solltest du dann ein Protokoll verwenden das die Daten verschlüsselt überträgt also HTTPS, SSH, SSL, IPsec usw.
Zu deinen Fragen:
1.)
Nein. Im Grunde ist ein VPN bei IPv6 ja überflüssig, da du ja als Heimnetz auch ein öffentliches IPv6 Netz bekommst. Du bist also quasi per v6 auch so von überall direkt erreichbar. Private RFC 1918 IP Netze wie bei v4 gibt es da ja nicht.
Du brauchst also im Grunde rein nur routen um das Netz zu erreichen. Ein VPN ist also quasi überflüssig. Natürlich solltest du dann ein Protokoll verwenden das die Daten verschlüsselt überträgt also HTTPS, SSH, SSL, IPsec usw.
Warum ist ein VPN in meinem Fall überflüssig? Wie meinst das?
Mein Ziel ist mich per Smartphone von extern eine VPN-Verbindung herzustellen,
wenn ich mal in einem (unsicheren) WLAN sein sollte. Für diesen Fall möchte ich dann den verschlüsselten WireGuard-VPN-Tunnel aufbauen und dann über meinen privaten Internetanschluss zu Hause (also quasi über meine FritzBox) WebSurfing machen.
IPv6 mit Prefix Delegation hat aber noch ein ganz anderes Problem.
Die Prefix Delegation ist nicht fest. Sie ändert sich alle paar Tage, sprich alle paar Tage bekommst du ein neues IPv6 /56 Subnetz zugeteilt. Sowas ist natürlich fatal wenn du einen Server betreibst was die Erreichbarkeit anbetrifft. Siehe hier:
https://www.heise.de/select/ct/2018/19/1536650923067816
Die Prefix Delegation ist nicht fest. Sie ändert sich alle paar Tage, sprich alle paar Tage bekommst du ein neues IPv6 /56 Subnetz zugeteilt. Sowas ist natürlich fatal wenn du einen Server betreibst was die Erreichbarkeit anbetrifft. Siehe hier:
https://www.heise.de/select/ct/2018/19/1536650923067816
Ja, das stimmt. Das hatte ich im Hinterkopf, wobei ich da auch noch nicht weiß,
was man da machen kann. Den Heise-Artikel kann ich leider nicht vollständig lesen,
weil ich kein Heise-Abonnent bin ;).
Bringe den Wireguard besser erstmal mit IPv4 zum Laufen. Da macht es auch Sinn.
Das kriege ich hin, habe ich in der Vergangenheit bereits mehrfach erfolgreich hinbekommen.
Wie gesagt, nur die IPv6-Geschichte war mir noch nicht ganz klar.
2.)
Siehe 1.
Du darfst da natürlich keine der öffentlich vergebenen v6 Adresse nutzen.
Siehe 1.
Du darfst da natürlich keine der öffentlich vergebenen v6 Adresse nutzen.
Hm, okay. Warum nicht?
Wenn ich für die VPN-Clients IPv6-Adressen aus dem "Unique Local Unicast"-Adressbereich verwende,
dann müssen die IPs der VPN-Clients doch noch auf eine öffentliche IPv6-Adresse genattet werden oder nicht!?
Deshalb braucht doch der RasPi auch eine öffentliche IPv6-Adresse,
auf die die VPN-IPs genattet werden können oder nicht!?
Ich kenne eine OpenVPN-Anleitung, wo der Autor ein öffentliches IPv6-Netz an die VPN-Clients vergibt.
Das ist ja eigentlich nur notwendig, wenn jeder VPN-Clients eine eigene öffentlich erreichbare v6-IP-Adresse bekommen soll.
Für WebSurfing ist das natürlich nicht notwendig.
Hier der Link zur OpenVPN-Anleitung, die ich meine:
https://www.techgrube.de/tutorials/openvpn-server-mit-ipv4-und-ipv6
Lediglich für den internen Tunnel könntest du Adressen aus einem reservirtem reinen Testbereich nehmen fc00::/7
https://de.wikipedia.org/wiki/IPv6#Unique_Local_Unicast
Starte wie gesagt mit v4 erstmal.
https://de.wikipedia.org/wiki/IPv6#Unique_Local_Unicast
Starte wie gesagt mit v4 erstmal.
Ja, okay.
Denk dran das du bei v4 durch das doppelte NAT was du hast dort 2 Mal den Wireguard Traffic (Default UDP 1194) per Port Forwarding auf das interne LAN (RasPi) forwarden musst. Dieses Tutorial erklärt das Prinzip:
Also WireGuard hat meines Wissens den Standard-Port 51820 (UDP),
der Port 1194 (UDP) ist der Default-Port bei OpenVPN.
Ein Port Forwarding brauche ich doch nur auf der FritzBox, also genau ein Port Forwarding.
Auf dem EdgeRouter wird nicht erneut genattet.
Warum ist ein VPN in meinem Fall überflüssig? Wie meinst das?
Bei IPv6 sind alle Netze öffentlichj, sprich also direkt von überall zu überall erreichbar. Reines Routing. NAT usw. wie man es von IPv4 kennt gint es nicht mehr.Folglich musst du nur für eine gesicherte, verschlüsselte Datenübertragung soregn aber nicht mehr mit einem VPN. Tunneln muss man ja durch das direkte Routimng nicht mehr.
wenn ich mal in einem (unsicheren) WLAN sein sollte
Wenn das auch IPv6 kann, wo ist das Pronbelm. Dann brauchst du kein VPN mehr. Wenn das WLAN allerdings rein nur v4 ist dann ist VPN wieder zwingend. Du musst dann schin wissen was für einen Unterbau du hast v4 oder v6. Wenn v6 verfügbar ist wird es in einem Dual Stack imemr priorisiert verwendet wie du ja sicher auch selber weisst.Das ist ja eigentlich nur notwendig, wenn jeder VPN-Clients eine eigene öffentlich erreichbare v6-IP-Adresse bekommen soll.
Und wenn er das v6 Netz nur über einen v4 Tunnel bekommt. Das ist sicher richtig. Wenn er aber v6 native bekommt via nativem Routing ist das Tunneling und damit das VPN ja überflüssig. Dann reicht eine normale Transport Verschlüsselung. VPN muss dann nicht sein bei einer homogenen v6 Infrastruktur.Also WireGuard hat meines Wissens den Standard-Port 51820 (UDP),
Stimmt, du hast recht !Die nutzen (noch) einen Port in den freien Ephemeral Ports die nicht offiziell von der IANA vergeben sind:
https://en.wikipedia.org/wiki/Ephemeral_port
Sorry für den Fauxpas.
Auf dem EdgeRouter wird nicht erneut genattet.
OK, wenn du da NAT abschalten kannst umso besser ! Siehe auch hier:Routing von 2 und mehr IP Netzen mit Windows, Linux und Router
Böser Nachteil:
Die Fritzbox supportet KEIN Port Forwarding auf geroutete Ziel IP Adressen. Als billige Consumer Box supportet sie das nicht.
Das Perfide ist das man es konfigurieren kann es aber nicht ausgeführt wird. Die Box verhält sich also nicht Standard konform hier. Jeder gute Router kann sowas aber die FB scheitert hier... Gut, die Entwickler gehen nicht davon aus das der normale durchschnittliche Heim User ohne Know How für den die FB konzipiert ist, solche Konstrukte in einem Heimnetz hat...das ist das Fatale. Etwas bessere Router Hardware wie die von Mikrotik z.B., die damit umgehen kann, wäre hier also erheblich sinnvoller !
Hi, habe den WireGuard-Server mal aufgesetzt.
WebSurfing (TCP 80 + 443) mit IPv4 funktioniert bereits einwandfrei,
sprich IP-Forwarding + Masquerading funktionieren.
Nur v6 will noch nicht wie ich möchte.
Habe mich mal an folgende Anleitung zur Einrichtung des WireGuard-Servers gehalten:
https://angristan.xyz/how-to-setup-vpn-server-wireguard-nat-ipv6/
Sprich, die VPN-Clients bekommen v6-IPs aus dem Netz fd42:42:42::/64.
Der WireGuard-Server hat auf der Schnittstelle "ens33" eine öffentliche IPv6-IP,
auf die ich die v6-IPs der VPN-Clients (Netz fd42:42:42::/64) natten möchte.
Deshalb habe ich mit folgendem Befehl (neben dem IP-Forwarding für v4) das IP-Forwarding
für IPv6 aktiviert:
sysctl -w net.ipv6.conf.all.forwarding=1
Wenn ich nun per Smartphone den WireGuard-Tunnel herstelle und einen IPv6-Test auf der Webseite
https://test-ipv6.com/ mache, dann kommt das Smartphone nicht nach draußen. Ich sehe zwar den Verbindungsaufbau
zu TCP-Port 443 (SYN-Pakete), aber keinerlei Antworten.
Das wird wohl daran liegen, dass das Natten (Masquerading) aus einem mir noch nicht bekannten Grund nicht funktioniert.
Sehe nämlich auf der Schnittstelle "ens33" (auf diese Schnittstelle soll genattet werden) die Verbindungsaufbau-Versuche des VPN-Clients,
aber wie gesagt keinerlei Antwort (weil nicht genattet wird).
Habe das mit folgendem tcpdump-Befehl sehen können:
tcpdump -i ens33 -p tcp and not net 192.168.1.0/24 and port 443 -nv
11:19:37.460099 IP6 (flowlabel 0x64af4, hlim 63, next-header TCP (6) payload length: 40) fd42:42:42::2.45826 > 2001:470:1:18::223:250.443: Flags [S], cksum 0xc367 (correct), seq 1411018565, win 65535, options [mss 1220,sackOK,TS val 59044 ecr 0,nop,wscale 8], length 0
11:19:37.566338 IP6 (flowlabel 0x8c881, hlim 63, next-header TCP (6) payload length: 40) fd42:42:42::2.56854 > 2001:470:1:18::125.443: Flags [S], cksum 0xd2d6 (correct), seq 1212761049, win 65535, options [mss 1220,sackOK,TS val 59052 ecr 0,nop,wscale 8], length 0
11:19:37.621951 IP6 (flowlabel 0xbf96c, hlim 63, next-header TCP (6) payload length: 40) fd42:42:42::2.46024 > 2001:470:1:18::125.80: Flags [S], cksum 0x3f2f (correct), seq 4006436013, win 65535, options [mss 1220,sackOK,TS val 59060 ecr 0,nop,wscale 8], length 0
11:19:37.661980 IP6 (flowlabel 0xae7e3, hlim 63, next-header TCP (6) payload length: 40) fd42:42:42::2.36444 > 2001:470:1:18::1281.443: Flags [S], cksum 0xa0f4 (correct), seq 1143257138, win 65535, options [mss 1220,sackOK,TS val 59064 ecr 0,nop,wscale 8], length 0
Für das Masquerading für v6 habe ich folgenden Befehl verwendet:
ip6tables -t nat -A POSTROUTING -s fd42:42:42::/64 -o ens33 -j MASQUERADE
Die Masquerading-Regel ist entsprechend auch aktiviert ... mit folgendem Befehl überprüft:
ip6tables -t nat -L -n -v
Hier die Ausgabe von diesem Befehl:
Chain PREROUTING (policy ACCEPT 133 packets, 10714 bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 5 packets, 418 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 52 packets, 4442 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 166 packets, 13658 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all * ens33 fd41:42:42::/64 ::/0
Liege ich richtig mit meiner Vermutung, das NAT für die v6-IPs der VPN-Clients nicht richtig funktioniert?
Hast du über jemand anders einen Tipp für mich, was noch nicht richtig konfiguriert ist bzw. wie der Fehler
behoben werden kann?
Für das Netzwerk, in dem sich der WireGuard-Server befindet, habe ich schon vor Monaten v6 auf dem EdgeRouter konfiguriert.
Die Clients (z.B. mein PC) bekommt problemlos eine öffentliche v6-IP und kann v6-Webserver ansprechen. Das ist das gleiche Netzwerk
wie gesagt, in welchem sich der WireGuard-Server befindet (der auch erfolgreich eine öffentliche v6-Adresse bekommt).
Habe einen entsprechenden Screenshot des Windows-Tools "TCPView" mit angehangen.
MfG, Datax
WebSurfing (TCP 80 + 443) mit IPv4 funktioniert bereits einwandfrei,
sprich IP-Forwarding + Masquerading funktionieren.
Nur v6 will noch nicht wie ich möchte.
Habe mich mal an folgende Anleitung zur Einrichtung des WireGuard-Servers gehalten:
https://angristan.xyz/how-to-setup-vpn-server-wireguard-nat-ipv6/
Sprich, die VPN-Clients bekommen v6-IPs aus dem Netz fd42:42:42::/64.
Der WireGuard-Server hat auf der Schnittstelle "ens33" eine öffentliche IPv6-IP,
auf die ich die v6-IPs der VPN-Clients (Netz fd42:42:42::/64) natten möchte.
Deshalb habe ich mit folgendem Befehl (neben dem IP-Forwarding für v4) das IP-Forwarding
für IPv6 aktiviert:
sysctl -w net.ipv6.conf.all.forwarding=1
Wenn ich nun per Smartphone den WireGuard-Tunnel herstelle und einen IPv6-Test auf der Webseite
https://test-ipv6.com/ mache, dann kommt das Smartphone nicht nach draußen. Ich sehe zwar den Verbindungsaufbau
zu TCP-Port 443 (SYN-Pakete), aber keinerlei Antworten.
Das wird wohl daran liegen, dass das Natten (Masquerading) aus einem mir noch nicht bekannten Grund nicht funktioniert.
Sehe nämlich auf der Schnittstelle "ens33" (auf diese Schnittstelle soll genattet werden) die Verbindungsaufbau-Versuche des VPN-Clients,
aber wie gesagt keinerlei Antwort (weil nicht genattet wird).
Habe das mit folgendem tcpdump-Befehl sehen können:
tcpdump -i ens33 -p tcp and not net 192.168.1.0/24 and port 443 -nv
11:19:37.460099 IP6 (flowlabel 0x64af4, hlim 63, next-header TCP (6) payload length: 40) fd42:42:42::2.45826 > 2001:470:1:18::223:250.443: Flags [S], cksum 0xc367 (correct), seq 1411018565, win 65535, options [mss 1220,sackOK,TS val 59044 ecr 0,nop,wscale 8], length 0
11:19:37.566338 IP6 (flowlabel 0x8c881, hlim 63, next-header TCP (6) payload length: 40) fd42:42:42::2.56854 > 2001:470:1:18::125.443: Flags [S], cksum 0xd2d6 (correct), seq 1212761049, win 65535, options [mss 1220,sackOK,TS val 59052 ecr 0,nop,wscale 8], length 0
11:19:37.621951 IP6 (flowlabel 0xbf96c, hlim 63, next-header TCP (6) payload length: 40) fd42:42:42::2.46024 > 2001:470:1:18::125.80: Flags [S], cksum 0x3f2f (correct), seq 4006436013, win 65535, options [mss 1220,sackOK,TS val 59060 ecr 0,nop,wscale 8], length 0
11:19:37.661980 IP6 (flowlabel 0xae7e3, hlim 63, next-header TCP (6) payload length: 40) fd42:42:42::2.36444 > 2001:470:1:18::1281.443: Flags [S], cksum 0xa0f4 (correct), seq 1143257138, win 65535, options [mss 1220,sackOK,TS val 59064 ecr 0,nop,wscale 8], length 0
Für das Masquerading für v6 habe ich folgenden Befehl verwendet:
ip6tables -t nat -A POSTROUTING -s fd42:42:42::/64 -o ens33 -j MASQUERADE
Die Masquerading-Regel ist entsprechend auch aktiviert ... mit folgendem Befehl überprüft:
ip6tables -t nat -L -n -v
Hier die Ausgabe von diesem Befehl:
Chain PREROUTING (policy ACCEPT 133 packets, 10714 bytes)
pkts bytes target prot opt in out source destination
Chain INPUT (policy ACCEPT 5 packets, 418 bytes)
pkts bytes target prot opt in out source destination
Chain OUTPUT (policy ACCEPT 52 packets, 4442 bytes)
pkts bytes target prot opt in out source destination
Chain POSTROUTING (policy ACCEPT 166 packets, 13658 bytes)
pkts bytes target prot opt in out source destination
0 0 MASQUERADE all * ens33 fd41:42:42::/64 ::/0
Liege ich richtig mit meiner Vermutung, das NAT für die v6-IPs der VPN-Clients nicht richtig funktioniert?
Hast du über jemand anders einen Tipp für mich, was noch nicht richtig konfiguriert ist bzw. wie der Fehler
behoben werden kann?
Für das Netzwerk, in dem sich der WireGuard-Server befindet, habe ich schon vor Monaten v6 auf dem EdgeRouter konfiguriert.
Die Clients (z.B. mein PC) bekommt problemlos eine öffentliche v6-IP und kann v6-Webserver ansprechen. Das ist das gleiche Netzwerk
wie gesagt, in welchem sich der WireGuard-Server befindet (der auch erfolgreich eine öffentliche v6-Adresse bekommt).
Habe einen entsprechenden Screenshot des Windows-Tools "TCPView" mit angehangen.
MfG, Datax
So, hab' die v6-Geschichte jetzt auch am Laufen.
In meiner Client-Config, die ich auf meinem Smartphone zum Testen aufgespielt hatte,
war ein Konfigurationsfehler bei der Angabe des VPN-Netzes für v6.
Die VPN-Clients bekommen also jetzt v4-IPs aus dem Netz 10.0.1.0/24 sowie v6-Adressen
aus dem Netz fd41:42:42::/64.
Das IP-Forwarding für v4 sowie für v6 müssen natürlich aktiviert sein sowie entsprechend
auch das Masquerading (v4 + v6).
Frage, die gerade noch bei mir auftritt:
Welche Lösung gibt es für den Fall, dass mein Provider mir ein neues öffentliches v6-Netz zuweist?
Jedes Mal die WireGuard-Configs anzupassen ist nicht so dolle ^^.
In meiner Client-Config, die ich auf meinem Smartphone zum Testen aufgespielt hatte,
war ein Konfigurationsfehler bei der Angabe des VPN-Netzes für v6.
Die VPN-Clients bekommen also jetzt v4-IPs aus dem Netz 10.0.1.0/24 sowie v6-Adressen
aus dem Netz fd41:42:42::/64.
Das IP-Forwarding für v4 sowie für v6 müssen natürlich aktiviert sein sowie entsprechend
auch das Masquerading (v4 + v6).
Frage, die gerade noch bei mir auftritt:
Welche Lösung gibt es für den Fall, dass mein Provider mir ein neues öffentliches v6-Netz zuweist?
Jedes Mal die WireGuard-Configs anzupassen ist nicht so dolle ^^.
Böser Nachteil:
Die Fritzbox supportet KEIN Port Forwarding auf geroutete Ziel IP Adressen. Als billige Consumer Box supportet sie das nicht.
Das Perfide ist das man es konfigurieren kann es aber nicht ausgeführt wird. Die Box verhält sich also nicht Standard konform hier. Jeder gute Router kann sowas aber die FB scheitert hier... Gut, die Entwickler gehen nicht davon aus das der normale durchschnittliche Heim User ohne Know How für den die FB konzipiert ist, solche Konstrukte in einem Heimnetz hat...das ist das Fatale. Etwas bessere Router Hardware wie die von Mikrotik z.B., die damit umgehen kann, wäre hier also erheblich sinnvoller !
Die Fritzbox supportet KEIN Port Forwarding auf geroutete Ziel IP Adressen. Als billige Consumer Box supportet sie das nicht.
Das Perfide ist das man es konfigurieren kann es aber nicht ausgeführt wird. Die Box verhält sich also nicht Standard konform hier. Jeder gute Router kann sowas aber die FB scheitert hier... Gut, die Entwickler gehen nicht davon aus das der normale durchschnittliche Heim User ohne Know How für den die FB konzipiert ist, solche Konstrukte in einem Heimnetz hat...das ist das Fatale. Etwas bessere Router Hardware wie die von Mikrotik z.B., die damit umgehen kann, wäre hier also erheblich sinnvoller !
Wie meinst das, dass die FritzBox kein "Port Forwarding" auf geroutete Ziel-IPs unterstützt?
Mein WireGuard-Server läuft nicht im gleichen Netz wie meine FritzBox,
sprich Verbindungsaufbauten zum WireGuard-Server müssen auch zum WireGuard-Server geroutet werden
(über meinen EdgeRouter). Das funktioniert einwandfrei.
Ober habe ich die falsch verstanden!?
Stell dir vor die FB rennt in einer Router Kaskade:
(Internet)===FritzBox---192.168.178.0/24---Router---10.1.1.0/24---PC
Wenn du jetzt ein Port Forwarding auf den PC einrichten willst müsste das Ziel eine 10er IP sein. Damit kann die FB nicht umgehen. Sie akzeptiert kein PFW für IP Netze die sie zwar routingtechnisch erreichen kann die aber nicht lokal sind. Es geht nur das lokale LAN.
Vermutlich ein Bug, denn fast alle anderen Router können damit umgehen.
(Internet)===FritzBox---192.168.178.0/24---Router---10.1.1.0/24---PC
Wenn du jetzt ein Port Forwarding auf den PC einrichten willst müsste das Ziel eine 10er IP sein. Damit kann die FB nicht umgehen. Sie akzeptiert kein PFW für IP Netze die sie zwar routingtechnisch erreichen kann die aber nicht lokal sind. Es geht nur das lokale LAN.
Vermutlich ein Bug, denn fast alle anderen Router können damit umgehen.
Das kann die FritzBox problemlos, solche Portweiterleitungen habe ich schon
recht häufig eingerichtet.
Auf meiner FritzBox (192.168.178.0/24er-Netz) ist eine Portweiterleitung auf meinen
WireGuard-Server (192.168.2.0/24er-Netz) eingerichtet.
Dazwischen ist ein EdgeRouter geschaltet, der die beteiligten Netze miteinander koppelt.
Das kann die FritzBox wie gesagt ohne Probleme, die Ziel-IP der Portweiterleitung
muss also nicht im gleichen Netz wie die FritzBox selbst sein.
Hattest du mit einer solchen Portweiterleitung (Ziel-IP nicht im gleichen Netz wie die FritzBox)
schon mal Schwierigkeiten?
recht häufig eingerichtet.
Auf meiner FritzBox (192.168.178.0/24er-Netz) ist eine Portweiterleitung auf meinen
WireGuard-Server (192.168.2.0/24er-Netz) eingerichtet.
Dazwischen ist ein EdgeRouter geschaltet, der die beteiligten Netze miteinander koppelt.
Das kann die FritzBox wie gesagt ohne Probleme, die Ziel-IP der Portweiterleitung
muss also nicht im gleichen Netz wie die FritzBox selbst sein.
Hattest du mit einer solchen Portweiterleitung (Ziel-IP nicht im gleichen Netz wie die FritzBox)
schon mal Schwierigkeiten?
solche Portweiterleitungen habe ich schon recht häufig eingerichtet.
Aber nicht auf IP Zieladressen die sie zwar routingtechnsich kennt die aber nicht als lokales Netz direkt an der FB angeschlossen sind. Das wäre neu wenn das supportet wäre.Deine Port Weiterleitung sollte also nicht funktionieren. Das kannst du auch selber sehen, wenn du mal einen Wireshark in das Transfer Netz .178.0 einschleifst und mal checkst ob die FB dann Pakete weiterleitet. Tut sie normalerweise nicht.
Desweiteren hängt es davon ab WIE der Edge Router konfiguriert ist ???
Macht er NAT ? Wenn ja dann ist die Port Weiterleitung eh Unsinn, denn dann würde sie durch die dann aktive NAT Firewall am ER nicht greifen (doppeltes NAT).
Die Poert Weiterleitung an der FW muss dann als Ziel die WAN IP des ER haben. Der wiederum dann eine Port Weiterleitung auf die finale IP des WG Servers haben der im dortigen lokalen LAN liegt.
Macht der ER kein NAT und routet transparent, dann hat die FB ja eine statische Route und die Port Forwarding Regel müsste dann wie oben direkt auf die WG Endadresse lauten.
Das aber geht nicht, weill die FB solche Ziele nicht auber weiterleitet. So war es wenigstens bis dato. Möglich das AVM das geändert hat was aber zu bezweifeln ist.
Es sei denn du kannst es mt dem Wireshark verifizieren.
Hattest du mit einer solchen Portweiterleitung (Ziel-IP nicht im gleichen Netz wie die FritzBox) schon mal Schwierigkeiten?
Ja. Eben genau deswegen weil die FB es nicht angeroutete Adressen weiterleitet sondern nur an IPs die in Netzen liegen die direkt an ihr angeschlossen sind.Hattest du mit einer solchen Portweiterleitung (Ziel-IP nicht im gleichen Netz wie die FritzBox) schon mal Schwierigkeiten?
Ja. Eben genau deswegen weil die FB es nicht angeroutete Adressen weiterleitet sondern nur an IPs die in Netzen liegen die direkt an ihr angeschlossen sind.
Ja. Eben genau deswegen weil die FB es nicht angeroutete Adressen weiterleitet sondern nur an IPs die in Netzen liegen die direkt an ihr angeschlossen sind.
Also ich kann das nur wiederholen. Portweiterleitungen an Ziel-IPs in entfernten (also nicht lokal angeschlossenen) Netzen habe
ich auf der FritzBox schon etliche Male erfolgreich eingerichtet, die dann auch funktioniert haben.
Zurzeit habe ich eine solche Portweiterleitung wie gesagt für meinen WireGuard-Server eingerichtet,
funktioniert problemlos (FritzBox = 192.168.178.1/24 leitet den WireGuard-Traffic weiter auf die 192.168.2.2/24).
Zwischen der FritzBox und dem WireGuard-Server hängt der EdgeRouter, der die Netze miteinander verbindet (kein NAT/Masquerading aktiviert).
Habe dir einen "tcpdump"-Screenshot angehängt des EdgeRouters angehängt,
da habe ich auf "eth0" (192.168.178.2/24) den WireGuard-Traffic mitgeschnitten.
Mir ist das komplett neu, dass die FritzBox mit solchen Portweiterleitungen Schwierigkeiten haben soll.
Das höre ich zum ersten Mal ... bei mir haben solche Portweiterleitungen wie gesagt bisher immer problemlos funktioniert.
Moin.
Muss den Kollegen Recht geben.
Die Fritte kann nur an IPs im gleichen Segment Portforwarding machen.
Statische Routen lassen sich jedoch beliebig setzen.
Hier der Versuch meiner Fritte .200.250 ein PFW auf eine .189.13 zu machen - geht nicht.
Grüße, Henere
Muss den Kollegen Recht geben.
Die Fritte kann nur an IPs im gleichen Segment Portforwarding machen.
Statische Routen lassen sich jedoch beliebig setzen.
Hier der Versuch meiner Fritte .200.250 ein PFW auf eine .189.13 zu machen - geht nicht.
Grüße, Henere
Danke für den Post um das nochmal klarszustellen. Ist auch bei der FB hier ebenso...
Muss mich da erneut wiederholen.
Ich habe das schon seit Ewigkeiten so eingerichtet,
siehe Screenshot im Anhang.
Meine FritzBox hat die 192.168.178.1/24 und mein WireGuard-Server die 192.168.2.2/24,
für die Weiterleitung des UDP-Ports habe ich eine entsprechende Portweiterleitung eingerichtet.
Das funktioniert wunderbar.
Welche FritzOS-Version ist denn auf deiner FritzBox installiert?
Ich habe das schon seit Ewigkeiten so eingerichtet,
siehe Screenshot im Anhang.
Meine FritzBox hat die 192.168.178.1/24 und mein WireGuard-Server die 192.168.2.2/24,
für die Weiterleitung des UDP-Ports habe ich eine entsprechende Portweiterleitung eingerichtet.
Das funktioniert wunderbar.
Welche FritzOS-Version ist denn auf deiner FritzBox installiert?
und mein WireGuard-Server die 192.168.2.2/24,
Das kann ja niemals klappen ! Wenn dann muss der ja im gleichen IP Netz wie die FB sein. So hast du 2 verschiedene IP Netze was niemals gehen kann.Oder es ist so wirr beschrieben weil du nicht angibst in welchem LAN Segment diese liegen..?!
Vewrmutlich dann eine Kaskade ala
(Internet)===FritzBox_.1---(192.168.178.0/24)---.254_ER_Router_.1---(192.168.2.0/24)---.2_Server
Ist dem so ?
für die Weiterleitung des UDP-Ports habe ich eine entsprechende Portweiterleitung eingerichtet.
Eine ?Das reicht einzig nur dann, wenn der ER kein NAT macht. Also transparent routet.
Scheitert dann aber weil die FB keine Pakete an geroutete IP Netze Port Forwardet. Siehe oben.
Hast du mal einen Wireshark in das .178er Netz gehängt und dir das angesehen ob da was kommt ?? Wäre ja mal sehr hilfreich um das wasserdicht zu klären !
Sollte der ER auch NAT machen also Kaskade mit doppeltem NAT dann brauchst du logischerweise zweimal den Port Forwarding Eintrag.
Hat dann den Vorteil das die FB dann an eine lokale IP, sprich die WAN IP de ER im .178.0er Netz forwarden muss was dann wieder klappt.
Das funktioniert wunderbar.
Ja aber dann ist doch alles OK ?!Warum diskutieren wir dann hier noch sinnlos rum ?? Dann können wir den Thread doch schliessen ?!
Zitat von @aqui:
Oder es ist so wirr beschrieben weil du nicht angibst in welchem LAN Segment diese liegen..?!
und mein WireGuard-Server die 192.168.2.2/24,
Das kann ja niemals klappen ! Wenn dann muss der ja im gleichen IP Netz wie die FB sein. So hast du 2 verschiedene IP Netze was niemals gehen kann.Oder es ist so wirr beschrieben weil du nicht angibst in welchem LAN Segment diese liegen..?!
Also ich habe jetzt schon einige Male erwähnt, dass meine FritzBox die 192.168.178.1/24 hat und mein
WireGuard-Server die 192.168.2.2/24 und mein EdgeRouter diese beiden Netze miteinander verbindet.
Der EdgeRouter selbst hängt mit "eth0" (192.168.178.2/24) an einem LAN-Port der FritzBox (192.168.178.1/24).
Vewrmutlich dann eine Kaskade ala
(Internet)===FritzBox_.1---(192.168.178.0/24)---.254_ER_Router_.1---(192.168.2.0/24)---.2_Server
Ist dem so ?
(Internet)===FritzBox_.1---(192.168.178.0/24)---.254_ER_Router_.1---(192.168.2.0/24)---.2_Server
Ist dem so ?
Ja, genau.
(Internet) -- FritzBox (192.168.178.1/24) -- (192.168.178.2/24) EdgeRouter (192.168.2.1/24) -- WireGuard-Server(192.168.2.2/24)
für die Weiterleitung des UDP-Ports habe ich eine entsprechende Portweiterleitung eingerichtet.
Eine ?Das reicht einzig nur dann, wenn der ER kein NAT macht. Also transparent routet.
Scheitert dann aber weil die FB keine Pakete an geroutete IP Netze Port Forwardet. Siehe oben.
Ich hatte bereits erwähnt, dass der EdgeRouter kein NAT macht (keine Masquerading-Regeln konfiguriert).
Hast du mal einen Wireshark in das .178er Netz gehängt und dir das angesehen ob da was kommt ?? Wäre ja mal sehr hilfreich um das wasserdicht zu klären !
Habe ich ja extra gemacht, weil du es gerne sehen wolltest.
In meinem vorletzten Post habe ich einen tcpdump-Mitschnitt angehangen,
wo man den über "eth0" (192.168.178.2/24) laufenden WireGuard-Traffic sehen kann.
Der EdgeRouter hat außer über "eth0" (192.168.178.2/24) keine andere Verbindung zur FritzBox,
nur genau diese eine.
Aus dem Grund sieht man zweifelsfrei, dass die FritzBox problemlos in nicht-lokale Netze Ports weiterleiten kann.
Ggf. funktioniert es mit bestimmten (alten) FritzOS-Versionen noch nicht,
aber mit den aktuellen Versionen auf jeden Fall. Zumindest bei meiner FritzBox zu Hause funktioniert es :p.
Den Screenshot von Kollege "Henere" habe ich ja gesehen,
wäre mal interessant gewesen, welche FritzOS-Version er hat.
Ja aber dann ist doch alles OK ?!
Warum diskutieren wir dann hier noch sinnlos rum ?? Dann können wir den Thread doch schliessen ?!
Warum diskutieren wir dann hier noch sinnlos rum ?? Dann können wir den Thread doch schliessen ?!
Das weiß ich nicht, warum wir hier noch diskutieren.
Ich habe einfach den Eindruck, dass du dich nicht überzeugen lassen möchtest,
dass die FritzBox sehr wohl (zumindest bei meiner FB7560 mit FritzOS v7.12) Ports an entfernte IPs weiterleiten kann.
Selbst nachdem ich den Beweis (den tcpdump-Mitschnitt) hier gepostet habe,
hast du erneut einen Beweis eingefordert.
Der Thread kann gerne geschlossen werden, danke dir.
7.12 auf 7490
Wenn der Edge-Router das verbindet, dann ist aber der Edge-Router der Next Hop und nicht der Wireguard.
Sagt einem aber auch schon der gesunde Menschenverstand auch ohne IT Wissen...
Hier ist das Prinzip erklärt:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Aber wie gesagt...NUR wenn der ER auch NAT macht (IP Adress Translation).
Routet er transparent (also OHNE NAT) dann hat der Port Forwarding Eintrag den VPN Server. Klar, denn dann ist kein Port Forwarding auf dem dahinter kaskadierten Router erforderlich !
Alles ganz einfach und logisch...
Hier ist das Prinzip erklärt:
IPsec IKEv2 VPN für mobile Benutzer auf der pfSense oder OPNsense Firewall einrichten
Aber wie gesagt...NUR wenn der ER auch NAT macht (IP Adress Translation).
Routet er transparent (also OHNE NAT) dann hat der Port Forwarding Eintrag den VPN Server. Klar, denn dann ist kein Port Forwarding auf dem dahinter kaskadierten Router erforderlich !
Alles ganz einfach und logisch...
