AW: Glasfaser IPv6 kein VPN usw.
Bei diesem Punkt blicke ich nicht ganz durch:
Soweit ich das sehen kann, arbeitet das CPE als transparente Bridge, d.h. die Verbindung wird von der Fritz!Box (oder einem anderen angeschlossenen WAN-Router) selber aufgebaut.
Bei dieser Betriebsart sollte die Fritz!Box normalerweise durch das CPE hindurch (Welches sie in dem Sinne gar nicht sieht) vom Netzwerk ein IPv6-Präfix mitgeteilt bekommen.
Dies suggeriert zumindest die von bornet verlinkte
.
Sollte das CPE jedoch in Wirklichkeit ein kompletter Router sein, der womöglich keine Präfix Delegation unterstützt, dann wäre das in der Tat ein dramatisches Hindernis. Das CPE wäre damit ein absoluter Show-Stopper, genau wie das DK7200 (Dreckniknotzlor DK7200) bei Unitymedia.
In diesem Fall bekäme die Fritz!Box nämlich lediglich eine private IPv4-Adresse aus dem LAN des Glasfaser-Routers, was für genau gar nichts außer Surfen und eMails abholen gut ist.
Das wäre ein Punkt, den Du vorab in Erfahrung bringen müßtest:
Rein von den technischen Daten des Herstellers (Das CPE ist ein Genexis "Residential Gateway") ist das CPE bereits selber ein Router, wobei allerdings jeder der vier Ports durch den Anbieter (Also new, fl!nk, bornet) in den sog. "
Bridge-Modus" geschaltet werden kann.
Wenn der Anbieter diese Funktionalität nutzt, dann wird ein IPv6/DS-lite-fähiger Router auch in der Lage sein, daran ein eigenes IPv6-Subnet zu beziehen und zu verwalten.
Läuft das CPE aber im reinen Router-Modus und läßt den Bridge-Mode nicht zu (Genau das ist das Problem beim DK7200 von Unitymedia), dann wird der Anschluß eines eigenen Routers unnötig erschwert bis unmöglich.
Wenn Du einen Anschluß zum Testen zur Verfügung hast, kannst Du es wie folgt ausprobieren:
- Schließe die Fritz!Box wie in der o.g. Anleitung beschrieben an.
- Schalte sie in die "erweiterte Ansicht" (Das ist bei neueren Firmwares der erste Punkt im Fußleisten-Menü auf jeder Seite der Fritz!Box-Oberfläche)
- Gehe im linken Menü auf "Internet -> Zugangsdaten" und dann auf den Reiter "IPv6".
- Stelle sie dort wie folgt ein:
(*) Immer eine native IPv6-Anbindung nutzen
[X] IPv4-Anbindung über DS-Lite herstellen
(*) AFTR-Adresse automatisch über DHCPv6 ermitteln
Wenn bornet das CPE vernünftig eingestellt hat, dann solltest Du danach in der Übersicht in etwa folgendes sehen:
Die Darstellung kann wegen der erweiterten Ansicht und einer anderen Firmware abweichen, entscheidend ist nur, daß dort hinter "Internet, IPv6" auch wirklich "verbunden" und ein öffentliches IPv6-Präfix (Im Falle von bornet also beginnend mit "2a03:fc03:") steht.
Geschieht das nicht, verbindet sich die Fritz!Box also nicht, dann müßtest Du das Interface des Glasfaser-CPEs überprüfen, ob Du einen seiner Ports in den Bridge-Modus versetzen kannst.
Wenn nicht, bliebe nur noch eine Anfrage bei bornet, ob die das per Fernkonfiguration tun würden.
Ohne Bridge-Modus im bornet-CPE nutzt Dir die ganze IPv6-Funktionalität der Fritz!Box leider nix.
Bezahlte Dyn.com-Konten können IPv6-Adressen nutzen, ja.
Besser wäre es allerdings, den freedns.afraid.org-Service in Verbindung mit dem MyFritz!-Dienst zu benutzen:
Wenn Du in einer aktuellen Fritz!Box eine MyFritz!-Freigabe einrichtest, dann richtet die Fritz!Box automatisch
- eine IPv4-Portweiterleitung für das Gerät/den Port (Nutzlos bei DS-lite, ich glaube, bei DS-lite überspringt die Fritte diesen Part auch)
- eine IPv6-Freigabe (Also eine Ausnahmeregel in ihrer IPv6-Firewall) für die IPv6-Adresse+den Zielport des Zielgerätes
und
- einen DynDNS-Hostname <Gerät>.<kryptische Buchstabenfolge>.myfritz.net
ein.
Beispiel:
Angenommen, Du richtest eine MyFritz!-Freigabe für einen HTTPS-Server/Port 443 auf der Himbeere ein und das Teil heißt bei Dir im Netz auch "himbeere", dann könntest Du danach die Himbeere von überall auf der Welt unter
erreichen.
Also ein absoluter all-inclusive Service Deiner Fritte ...
Und damit man sich das behämmerte "himbeere.kdfbngibgif.myfritz.net" nicht merken muß, kannst Du dann noch bei freedns.afraid.org einen DynDNS-Account mit einem CNAME anlegen:
himbeere.mooo.com als CNAME von himbeere.kdfbngibgif.myfritz.net
Danach läßt sich die Himbeere von überall auf der Welt auch unter
erreichen.
Das Dyn-Update erledigt trotzdem die Fritz!Box, denn himbeere.mooo.com ist und bleibt dabei lediglich ein Verweis auf den schwieriger zu merkenden, aber von der Fritz!Box gepflegten DynDNS-Host himbeere.kdfbngibgif.myfritz.net.
Das ist auch durchaus möglich, sofern der Client (Ich betrachte jetzt mal Deine Himbeere als Server) auch IPv6 beherrscht.
Wenn das gegeben ist, reicht ein einfaches Ändern von
proto tcp-server
bzw.
proto tcp
in
proto tcp6-server
und
proto tcp6
in der entsprechenden OpenVPN-Konfiguration.
Auf Server-Seite kann man das übrigens sowieso machen, der Server arbeitet danach nämlich per Dual-Stack, wäre also auch weiterhin über IPv4 erreichbar.
Beachte:
Mit diesen Einstellung wird beeinflußt, wie OpenVPN die Verbindung aufbaut, also über IPv6 bzw. Dual Stack. Was Du durch den Tunnel transportierst, ist Dir überlassen und kann sogar IPv4-only bleiben.
Du kannst also sogar zwei nur per IPv6 von außen erreichbare Netze mittels OpenVPN über IPv6 verbinden und trotzdem das entstehende virtuelle Netz als reines IPv4-Netzwerk belassen.
Innerhalb des Heimnetzes/LAN/WLANs stimmt das.
iPhones und iPads können aber im Mobilfunk nur dann IPv6, wenn es vom Mobilfunkprovider kommt und das bietet eben keiner an.
Es gibt allerdings eine Lösung und zwar eine OpenVPN-Verbindung zu einem Dual-Stack-Server (In Deinem Fall z.B. Deinem Root-Server). Dann kann sich das
iPhone mit diesem über IPv4 verbinden und durch das VPN eine IPv6-Adresse erhalten. Da es sich aus Sicht des Apple-OS dann um eine LAN-Verbindung und keine Mobilverbindung handelt, unterstützt es im VPN dann doch wieder IPv6.
Androiden hingegen können auch direkt eine Tunnelanbindung (SixXS) nutzen, um auch unterwegs IPv6 nutzen zu können (z.B. um das DS-lite-Heimnetz erreichen zu können).
Ab Android 4.3 wird das allerdings dadurch wieder erschwert, daß man den DNS-Server nicht mehr ändern kann. Da der voreingestellte DNS-Server des Mobilfunkproviders meistens keine IPv6-Adressen auflösen kann, endet man mit einem zwar prinzipiell funktionierenden aber doch weitgehend nutzlosem Tunnel (Du müßtest dann die IPv6-Adressen der Gegenseiten selber kennen).
Darüber machen wir uns erst Gedanken, wenn der erste Punkt geklärt ist, nämlich ob man die Fritz!Box wirklich vollwertig hinter dem CPE betreiben kann, also ob das CPE den Bridge-Modus beherrscht.
Dann ist alles andere kein Problem mehr.
Nein, eine reicht.
Das gilt für alle Fritten, die einen
Eingang für echtes ISDN/analoge Telefonie haben:
Denen ist es scheißegal, woher das Telefonsignal an diesem Eingang kommt, das kann aus einem beliebigen ISDN-Anschluß, einem beliebigen analogen Anschluß oder auch aus einem anderen VoIP-Router aus dessen Buchse zum Anschluß eines Telefons/einer ISDN-Anlage kommen.
Meine Fritz!Box 7390 hängt z.B. auch mit dem ISDN-Kabel am Splitter vom Vodafone-DSL und mit LAN1 hinter dem Kabel-Modem von Unitymedia, während das Vodafone DSL von meiner alten Fritz!Box 7570 hinter der mitgelieferten Easybox benutzt wird ...
(Für Nicht-Kölner: "Gelernt ist gelernt")
