Verbinden von privaten IPv4 Netzen über reine IPv6 Internet-Anschlüsse

Das könnte Dich auch interessieren...

26 Antworten

  1. mcgreg sagt:

    Hallo!
    Ich habe ebenso dieses „kann über ipv4 nicht auf meinen Rechner zugreifen“ Problem weil ich jetzt bei Unitymedia über ipv6 online bin. Würde eben gerne wieder einen webserver/ftp server laufen lassen, aber scheitere kläglich. Ich habe die CT 6/2013 und habe es so verstanden, dass man einen zusätzlichen Rechner/Server braucht, der schon über ipv4 verbunden ist und man mit diesem eben eine ssh Tunnel macht.
    Geht es garnicht anders? Leider bin ich technisch nicht soo fit um alles zu verstehen.

    Freundliche Grüße
    mcgreg

    • Manuel sagt:

      Hallo mcgreg,

      in deiner Konstellation wird dir mein Aufbau nicht wirklich behilflich sein. Ich kann dir auch nur empfehlen, dich an den Artikel aus der C’t zu halten. In dem Artikel wird glaube ich auch geschrieben, das UnityMedia derzeit an einer Lösung arbeitet, auch mit IPv6 Anschlüssen für die Außenwelt erreichbar zu sein. Evtl. hörst du einfach mal bei denen nach, wie weit die sind.

      Gruß
      Manuel

  2. Bachsau sagt:

    “Never touch a running system!” ist was für laien, nicht für ITler. Als Admin wird man dich mit dieser Einstellung aus jedem Haus jagen, wenn du nicht bereit bist, die Systeme ständig auf dem aktuellen Stand zu halten. 😉

    • Manuel sagt:

      Jein 😉 Versionsupdates stehen außer Frage (Thema Security), ebenso der Wechsel auf andere Software wenn vorhandene nicht mehr unterstützt wird. Es muss halt nur nicht immer Featurehascherei sein … wobei es auch außer Frage steht, das man immer über den Tellerrand blicken sollte auch gerade um Pro- und Contra abwägen zu können. Wer nicht alle Seiten kennt, kann auch nicht wirklich seriös die beste Lösung für etwas finden.
      Gerade beim Thema IPv6 war es so, als ich mich vor langer Zeit mal mit beschäftigen wollte, das noch SEHR viel zu dem Thema halbgar war. Das hat sich merklich mittlerweile geändert.

  3. PdXY sagt:

    Wenn beide Anschlüsse bei UM sind hat man leider keine feste IPv6. Liesse sich das dann mit v6-fähigem dyndns Anbieter und Client auf dem server machen ? Dann bleibt das Problem der Portfreigabe auf der fbox. Ideen zur Lösung?

    • Manuel sagt:

      So schwierig sollte es in deinem Fall gar nicht sein. Du hast zwar eine wechselnde IPv6 auf beiden Seiten, wenn du aber über einen DynDNS-Anbieter die jeweils andere Box ansprichst, sollte das problemlos klappen. Worauf du nur achten musst, ist, dass es ein DynDNS-Anbieter ist der IPv6 unterstützt. Im einfachsten Fall nutzt du den MyFritz-Box Dienst von AVM. Dann erhältst du automatisch auch einen DynDNS-Hostname, der IPv6 auflöst. Ansonsten sollte der Rest aus meinem How-To 1:1 passen.

  4. PdXY sagt:

    Versuche gerade, das ganze unter Windows zu realisieren. Server und Client können sich über IPv4 erreichen. Soweit hat alles geklappt, vielen dank für die Anleitung und Deine Tipps! Habe mit dem Routing allerdings noch Probleme, die fbox will sie nicht annehmen. Dazu evtl noch weitere infos? Evtl Email Kontakt möglich? 🙂

  5. PdXY sagt:

    Hm, mir fällt gerade ein, dass ich auf den Windows-Rechnern keine Route eingerichtet habe, und genau das zeigt mir ein traceroute auch an: Das Paket geht vom Start zur fbox und von dort zur eingetragenen route (Server IP). Da der Server keine Route hat, gibt er das Paket zurück an seinen Gateway (fbox) und das Paket geht zwischen den beiden unendlich hin und her. Eine Route auf dem Server (route -p ADD ) sollte das Problem schon lösen, sehe ich das richtig? Wenn es funktioniert kann ich ja meine Schritte nochmal per E-Mail schreiben zur evtl. Erweiterung des Blogposts.. Manchmal hat man einfach einen Elefant auf der Leitung sitzen! 😀

  6. PdXY sagt:

    Die Route willl er wegen Sonderzeichen wohl nicht in meinen Kommentar übernehmen.. Also „route -p ADD (Zielnetz) (Subnetzmaske) (IPv4 des VPN)“?! Sorry fürs spammen deiner Kommentare aber das VPN unter Windows einrichten ist sicherlich für einige ebenfalls interessant (hoffe ich).

  7. Manuel sagt:

    Ist viel einfacher … die Sache ist ja: Die jeweilige FB ist ja immer die, die als Gateway auf deinen Clients eingetragen ist. Du musst nun auf deiner FB einfach nur manuell die Route hinzufügen, dass alles was zum Netz X geht, über die Adresse Y geht. Natürlich musst du dann noch dafür sorgen, dass der Rechner mit Adresse Y auch ein aktives Routing hat. Meines wissens nach ist das Routing per default deaktiviert.

  8. PdXY sagt:

    IPv4 des VPN ist nicht im Subnetz der FB, dementsprechend nimmt die FB Addresse Y nicht, es sei denn Addresse Y ist die des physischen NIC auf dem Server. Dementsprechend muss der Server ja wissen, was er mit ankommenden Paketen für Netz X tun soll..

  9. PdXY sagt:

    Routing ist natürlich aktiviert per IPEnableRouter in der Registry..

  10. Manuel sagt:

    Nehmen wir an, Netz A ist 192.168.0.x und Netz B 192.168.1.x. Der Rechner, auf dem jeweils das VPN läuft, ist 192.168.0.123 bzw. 192.168.1.123. Du musst nun dafür sorge tragen, dass auf beiden Rechner das Routing aktiv ist. Dann solltest du zumindest zu Anfang erst mal die Firewall komplett ausschalten.
    Danach solltest du auf der FB der jeweiligen Netzseite folgende Route eintragen:

    Netz A: Netzwerk 192.168.1.0, SN 255.255.255.0, Gateway 192.168.0.123
    Netz B: Netzwerk 192.168.0.0, SN 255.255.255.0, Gateway 192.168.1.123

    Wenn man es dann z.B. von Netz A Seite sieht: Der Router bekommt etwas für 192.168.1.x und weiß, das er es an 192.168.0.123 schicken muss. Der Rechner 192.168.0.123 „kennt“ dann 192.168.1.x weil ihm via Routingregel gesagt wird, dass das Netz auf die andere Seite geroutet wird.

    Wichtig ist halt, dass das Routing auf der FB funktioniert und auf dem Rechner wo das VPN läuft. Das VPN Netz hat ja in der Regel nochmal ein komplett eigenes Netz, so dass du ihm entsprechend bekannt machen musst, dass auf der Gegenseite sich ein anderes Netz noch befindet. D.h. du musst in der ganzen Kette von Anfang bis Ende überall schauen, dass die Routen entsprechend gesetzt sind – und das auf beiden Seiten, sonst geht nichts!

  11. Manuel sagt:

    Schau erst mal, dass du von der einen zur anderen VPN Seite pingen kannst und du auch das auf der anderen Seite liegende Netz erreichen kannst. Funktioniert das soweit, würde ich mir Gedanken machen, wie andere Clients über den VPN-Server kommen.

  12. PdXY sagt:

    „Der Rechner 192.168.0.123 “kennt” dann 192.168.1.x weil ihm via Routingregel gesagt wird, dass das Netz auf die andere Seite geroutet wird.“ – Da liegt das Problem, wie Du schreibst, ist die VPN IP ein anderes Netz. Der Rechner mit 192.168.0.123 kennt Netz B nicht und schickt die Pakete an seinen Gateway, nicht an die VPN IP (siehe Comment #8). Dementsprechend braucht er wohl die Route zu Netz B mit der VPN IP in seiner Tabelle, oder habe ich da jetzt einen schweren Denkfehler?

  13. PdXY sagt:

    Kommentare haben sich überschnitten, sorry.. Genau das ist es, noch kann ich vom Server nur zur anderen VPN Seite pingen, aber nicht das auf der anderen Seite liegende Netz erreichen 🙂 Alles vollkommen logisch, wie gesagt, der Elefant saß auf der Leitung – ohne Route kein anderes Netz..

  14. PdXY sagt:

    Hat leider nicht funktioniert, versuche jetzt nur, das auf der anderen Seite liegende Netz zu erreichen, die route habe ich versucht in Windows zu setzen oder in OpenVPN nach der HowTo auf OpenVPN.net (http://openvpn.net/index.php/open-source/documentation/howto.html#scope).

    Serverseitiges Netz=192.168.178.0
    Clientseitiges Netz=192.168.177.0
    VPN IP Server=10.0.0.1
    VPN IP Client=10.0.0.2
    ping 10.0.0.2 – geht
    ping 192.168.177.1 – „10.0.0.1 – Zielhost nicht erreichbar“

  15. Manuel sagt:

    Kontaktiere mich doch mal via E-Mail …. macht es auf Dauer vielleicht doch einfacher. Meine hast du ja, hab dich die Tage schonmal angeschrieben gehabt 😉

  16. Jurgen sagt:

    Danke für das super Tutorial. Am Ende schreibst du, wie man iptables anpassen soll, wenn man aus dem Tunnel alles rein und rauslassen möchte. Wie muss man dafür vorgehen, wenn man ufw nutzt?

  17. Gabriel sagt:

    Ich habe bisher ein Setup, das zwei IPV4 Anschlüsse miteinander per FritzBox verbindet. Wenn ich mich per iPhone/VPN auf das eine Netz verbinde kann ich auch auf das zweite Netz zugreifen, ohne dass ich mich explizit dort hin VPNe. Bei Deinem Setting würde das doch auch gehen, so wie ich das verstanden habe, oder?

  18. Flo sagt:

    Wahnsinn! Super geile Arbeit, vielen Dank!

    Ich erstelle demnächst mal einen Blog Eintrag mit Verweis zu dieser Seite, ich hab deinen Artikel recht spät gefunden.

    Das einzige was noch fehlt wäre ein Road-Warrior Szenario mit beliebigen Netzen am Client.
    Eine Idee wäre alle privaten Netze außer das eigene über den ip4ip6tunnel zu schicken.
    Was meinst du?

  19. Tobias sagt:

    Hi Manuel, vielen Dank für das Tutorial. Seit meinem Vertragswechsel auf DSlight habe ich das Thema vor mir hergeschoben. Ich habe mir mit ssh Tunneln und reverse Tunneln beholfen. Das ist ganz ok für die gelegentliche Anwendung aber wenn man auf das ganze Subnetz zugreifen will kann es ganz schön lästig sein. VPN über die Fritzboxen funktioniert nicht obwohl es eigentlich gehen sollte…
    Naja was selbst gestricktes bedeutet aber, dass ich unabhängig bin also vielen Dank. Dein Tutorial hat mir sehr geholfen.
    Der VPN Tunnel ist aufgebaut und die Subnetze werden über den Tunnel geroutet.
    Kleine Anmerkung meinerseits du schreibst unter Punkt 3;
    „„Sitzt“ man jetzt auf der OpenVPN-Server Seite und pingt die 192.168.254.2, wird das „eingepackt“, von fd22::1 nach fd22::2 geschickt, dort wieder ausgepackt und die dortige 192.168.254.2 rewiedert den Ping.“
    Da die route aber noch nicht eingestellt ist funktioniert das noch nicht. Das ist mir erst mit einem traceroute aufgefallen.
    Man müsste hier noch die Route einstellen damit es geht.
    route add -net 192.168.254.0/24 dev ip4ip6tunnel
    Weiter unten steht es dann im Punkt 4 aber wenn man es Schritt für Schritt macht, dann kann es hier zu Missverständnissen kommen.
    PS: Ich habe das Gefühl, dass die Verbindung recht langsam ist. Ist das bei anderen auch so oder ist das bei mir die Ausnahme?
    (Mein Aufbau, Raspberry Pi2 -> Fritzbox (nativIPv4 mit 6to4) Fritzbox (nativeIPv6/DSlight)Raspberry Pi3)

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.