Fragen zum Portmapper, VPN & ipv6

Alles Rund um die Einrichtung unserer IPv6 Portmapper
Post Reply
DrScott
Posts: 2
Joined: Mon 7. Sep 2015, 10:21

Fragen zum Portmapper, VPN & ipv6

Post by DrScott »

Hallo Forum,

derzeit besitze ich einen echten Dual-Stack Internet-Zugang, der mir mit 18Mbit für ~60Euro/mtl (incl. Telefon-Fest-flat) doch recht teuer erscheint. (?)

Daher orientiere ich mich derzeit und bin natürlich auch auf das DS-Lite Problematik gestossen.

Derzeit nutze ich folgende "Spezialitäten":

1) ssh-Zugang auf mein internes Netz aus einem ipv4 Netz
2) VPN-Verbindung aus Mobilem Netz (ipv4) mit Android via IPSec Xauth PSK auf Fritzbox

Nun stellt sich mir die Frage, ob mir Feste-IP hier beim "IPv4/IPv6-Bruch" helfen würde. Ich habe bereits Tests mit feste-ip durchgeführt.

Zu 1): ich habe einen portmapper eingerichtet, wobei ich die direkte interne ipv6 Adresse des Zielrechners angegeben habe. Die Verbindung hat geklappt. Nun wird mir aber öfters mal ein neues ipv6 Präfix zugewiesen, so dass die gesamte Adresse ja nie konstant ist. Wie kann dieses Problem umgangen werden? Die Fritzbox kann zwar diverse "DynDNS"-Dienste aktualisieren, dort wird ja aber die ipv6-Adresse des Routers abgeglichen, nicht die des internen Rechners. Könnte "feste-ip" so schlau sein, das Praefix anhand der DynDNS-Aktualisierung zu ermitteln und dies mit dem internen Anteil der IPv6 des Rechners zu kombinieren? Als weitere Lösung sähe ich z.b crontab-Skript, das die aktuelle IPv6 Adresse auf einen seperaten DNS-Eintrag aktualisiert. Wie seht ihr das?

Zu 2): Hier bin ich gescheitert, habe aber gelesen, dass IPSec nicht ohne UDP funktionieren kann und für UDP-Ports auf feste-ip keine Weiterleitung bewerkstelligt werden kann. Dazu ein paar Fragen:
2.1: Ist UDP-Weiterleitung prinzipiell nicht möglich oder wird es von feste-ip "einfach" nicht angeboten?
2.2: IPSec (und also IPSec Xauth PSK) scheidet also ohne wenn und aber aus (unabhängig von feste-ip, oder gäbe es eine andere Lösung)?
2.3: Ein (von extern initiertes) VPN ist bei IPv6 mit FritzBox-Mitteln nicht zu realisieren.
rema
Feste-IP.Net Support
Posts: 407
Joined: Thu 5. Feb 2015, 10:24

Re: Fragen zum Portmapper, VPN & ipv6

Post by rema »

Hallo,

zu 1.)
Leider gibt es keine einfache Möglichkeit den internen Präfix aus dem DDNS Update des Routers zu ermitteln. Wir haben unter http://www.feste-ip.net/dslite-ipv6-por ... ortmapper/ eine Lösung beschrieben über die wir den Präfix auslesen können.

Alternativ wäre noch MyFritz möglich da hierbei für Hosts die korrekten IPv6 Adressen gelistet werden. Die MyFritzadressen können das als Ziel für die Portmapper verwendet werden.

Mit inadyn-mt unter Linux oder dem DDNS Update von MPirschel für Windows kann man das DDNS-update auch direkt auf dem Zielsystem durchführen. Bitte keine crontab die jede Minute ein Update auf Verdacht macht ;-)


zu 2.)
IPSEC wird über die Portmapper nicht funktionieren. Eine Lösung ist openvpn im TCP Modus über einen Portmapper. Dafür gibt es auch Clients für die mobilen Geräte oder per openVPN eine statische IPv4 bis zum Server bringen und dann darüber IPSEC laufen lassen.

/LG rema
DrScott
Posts: 2
Joined: Mon 7. Sep 2015, 10:21

Re: Fragen zum Portmapper, VPN & ipv6

Post by DrScott »

Vielen Dank für die Antworten!
Bitte keine crontab die jede Minute ein Update auf Verdacht macht
Ok, das leuchtet ein ;-)
IPSEC wird über die Portmapper nicht funktionieren.
Mich würde noch interessieren, ob es sich hier um eine generelle Einschränkung durch IPv6 handelt, oder ob das prinzipiell doch irgendwie machbar wäre (wenn auch nicht durch feste-ip.net unterstützt)

OpenVPN habe ich schon mal erfolgreich angetestet. Der Charme der bisherigen Lösung war eben, dass die laufende Fritzbox ausreichend war.

Mit OpenVPN habe ich aber einen Effekt beobachtet (aktuell unter IPv4!), den ich mir nicht erklären kann: Ich hatte OpenVPN auf meinem Raspberry installiert. Der Raspberry hängt mittels LAN-Kabel an einem WLAN-Repeater (der also im "Client-Modus" ist) der wiederum mit der Fritzbox kommuniziert. (Dieses Setup ist derzeit aus anderen Gründen leider notwendig...)

Wenn ich nun den TCP-Port 1194 in der Fritzbox auf den Raspbmc weiterleite, dann klappt der Zugriff von Extern nicht. Es scheint nichts mit OpenVPN zu tun haben, da z.B. auch eine Portweiterleitung auf 22 nicht funktioniert.

Bei anderen Rechnern in meinem internen Netz gibt es dieses Problem der nicht funktionierenden Portweiterleitungen nicht. Auch kann ich intern auf die Ports des Raspi ohne Auffälligkeiten zugreifen.

Was ich nun seltsam finde: Wenn ich in der FritzBox eine Portweiterleitung 1194 auf einen Rechner A schalte (A hängt direkt im WLAN der Fritzbox) und dann auf A per

Code: Select all

ssh -N -L A.fritz.box:1194:raspi.fritz.box:1194 A.fritz.box
einen Tunnel zum Raspberry aufbaue, dann kann ich das dort laufende OpenVPN plötzlich von Extern nutzen?

Code: Select all

A    : inet addr:192.168.178.20  Bcast:192.168.178.255  Mask:255.255.255.0
raspi: inet addr:192.168.178.28  Bcast:192.168.178.255  Mask:255.255.255.0
Für mich hört sich das seltsam an, für einen Experten auch? :-)
(Meine Vermutung: Ein ssh-Tunnel bzw. ein direkter PortZugriff ist aus Sicht des Netzwerks eben etwas anderes als eine Portweiterleitung? Oder liegt es doch am Repeader: "Pseudobridge"? Habe das aufgeschnappt, verstehe es aber nicht ;-) )
rema
Feste-IP.Net Support
Posts: 407
Joined: Thu 5. Feb 2015, 10:24

Re: Fragen zum Portmapper, VPN & ipv6

Post by rema »

Hallo,

IPSec ist bei IPv6 schon im Protokoll implementiert und imho nicht mit IPv4 "vermischbar".
Das Einzige was solide funktioniert ist ein ssl basiertes VPN.

Das beschriebene Verhalten sieht aus wie eine fehlender Gatewayeinträg auf dem Raspi ? *duck*

/rema
Post Reply