Glasfaser IPv6 kein VPN usw.

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

Ich glaube nicht das ich da einfluss drauf habe mir ein Converter aus zu suchen

Hochoffiziell vielleicht nicht, aber vielleicht auf dem Kulanzweg.
So viel teurer kann der P1022 mit RJ45-Buchse auch nicht sein, es ist ansonsten ja das selbe Gerät.
Ansonsten ggf. auf dem Weg "10er in die Kaffeekasse, wenn der Kram montiert wird" ...

Siehe auch in diesem Thread das Kapitel zum Aufbau des Anschlusses/Urzustand.

 

[Michi240281]

AW: Glasfaser IPv6 kein VPN usw.

Hallo zusammen,

Und dann noch ne andere Frage: Ich möchte mein Heimnetz von außen per iPhone erreichen. Dazu müsste ich mir ja dann wohl diese FipBox von "Feste-ip.net" zulegen. Nen RPi habe ich bereits. Nun habe ich folgende Frage: Auf dem RPi läuft bereits eine Software zur Hausautomation (Fhem, falls es jmd was sagt)! BS ist Raspbian! Nun ist die Frage, ob ich mir diese Installation evtl. zerschieße, wenn ich da die FipBox Software zusätzlich installiere? Im Skript habe ich nichts ungewöhnliches entdeckt! Es wird jedoch der User "Pi" in "Fipbox" geändert. Kann mir dazu jmd weiterhelfen?

Besten Dank schonmal an alle!

 

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

ich habe heute mit einem Mitarbeiter der NEW in Mönchengladbach telefoniert. Ihm war es gänzlich unbekannt, dass es diese Lösung mit dem anderen Media Converter gibt.

Die Nutzer wissen meistens mehr als die Mitarbeiter ...

So wie es aussieht, lässt die DGF die ISPs völlig im dunkeln und auch auf eine Nachfrage hin wurde von der DGF bestritten, dass ein Betrieb vom P1022 mit der Fritzbox überhaupt möglich ist. Nun hätte der Mitarbeiter von NEW gerne einen Beweis, dass dies so möglich ist. Hier sind ja einige, die es bereits umgestellt haben (also jetzt den P1022 mit FB laufen haben).

Einige ist übertrieben.
Von einem weiß ich es

Würde sich einer von Euch evtl. bereit erklären, sich bei der NEW Glasfaser zu melden bzw. direkt am besten bei dem Mitarbeiter mit dem ich gesprochen habe?

Nun, die können mich gerne einstellen
Als staatlich-geprüfter Techniker in dem Bereich weiß ich, wovon ich rede

Dann würde er gerne die Leitung durchmessen und wenn sich dann rausstellt, dass es zu keinerlei Problemen/Störungen kommt, hätte er einen Beweis gegenüber der DGF und könnte somit gegen dessen Prozedere vorgehen. Die DGF sagt nämlich wohl, dass nur ein Betrieb mit P1012 und Genexis Router möglich ist.

Die Alternativmodelle P1022 und P1090 sind ja beim Hersteller des Routers zu finden:

Sie müssen registriert sein, um Links zu sehen.

P1012, P1022 und P1090 sind Modelle derselben Serie, ganz unten rechts kann man dort auch sehen, daß sich diese Modelle eben nur in ihren Anschlüssen unterscheiden.

Ob sich der Benutzer mit diesem Aufbau für einen Test zur Verfügung stellt, muß er selber entscheiden.

Und dann noch ne andere Frage: Ich möchte mein Heimnetz von außen per iPhone erreichen. Dazu müsste ich mir ja dann wohl diese FipBox von "Feste-ip.net" zulegen.

Nein, nicht zwingend.

Der Dienst feste-ip sorgt auf seinen Servern dafür, daß Dein IPv6-Server zuhause von IPv4-only-Clients aus erreichbar wird.
Deren Server sind schlichtweg sowohl per IPv4 als auch per IPv6 angebunden und können daher als "Vermittler" (Proxy) aktiv werden:
IPv4-only-Client ---- IPv4-Internet ---> feste-ip-Portproxy ==== IPv6-Internet ===> IPV6-Server zuhause

Ein Beispiel für dieses Szenario wäre ein Smartphone im Mobilfunknetz (Wo man in der Regel kein IPv6 hat), von dem aus man auf z.B. die Fritz!Box-Oberfläche, das Webif eines IPv6-fähigen oscam, ein IPv6-fähiges NAS, o.ä. zugreifen können will.
Oder z.B. ein CCcam (= IPv4-only), der auf einen IPv6-fähigen oscam zugreifen soll.

Diese Aufgabe kann prinzipiell aber auch jeder andere Rechner mit Dual-Stack-Anbindung erfüllen

Spoiler

Ein solcher Proxy wird unter Linux mit 6tunnel wie folgt aktiviert:
6tunnel -f <IPv4-Port> <IPv6-DynDNS des Ziels> <IPv6-Port am Ziel>
also z.B.
6tunnel -f 12000 ipv6server.dyndns.org 12000

Auf einem Windows-Rechner macht
netsh interface portproxy add v4tov6 listenport=12000 ipv6server.dyndns.org 12000
das selbe.

Danach nimmt besagter Rechner mit seinem Port 12000 IPv4-Verbindungen von außen an und leitet sie per IPv6 an Port 12000 von ipv6server.dyndns.org weiter.

Der IPv4-only-Client braucht nun nur noch die Angaben zum Server durch die entsprechenden des Proxies ersetzen (Der aus Client-Sicht nun der Server ist), also würde z.B. aus
C: ipv6server.dyndns.org 12000 Benutzer Kennwort
schlichtweg
C: 4to6proxy.dyndns.org 12000 Benutzer Kennwort
wenn der Proxy den DynDNS-Namen 4to6proxy.dyndns.org hätte.

Unser besagter "Prototyp-Benutzer" nutzt dazu z.B. schlichtweg seinen vorhandenen vServer ...
Im Extremfall kann man diesen Proxy sogar auf demselben Client-Gerät laufen lassen, auf dem auch der Client-Dienst läuft, nämlich dann, wenn man zwar am Client-Gerät IPv6 zur Verfügung hat, aber das Client-Programm kein IPv6 kann (z.B. besagter CCcam) ...



Die fipbox zuhause wiederum wird nur gebraucht, wenn der Server zuhause zu allem Elend auch noch IPv4-only ist, also auch nicht per IPv6 erreichbar gemacht werden kann.

Spoiler

Dann proxied die fipbox ein zweites Mal:
IPv4-only-Client ---- IPv4-Internet ---> feste-ip-Portproxy ==== IPv6-Internet ===> fipbox zuhause ---- IPv4-LAN ---> IPV4-only-Server zuhause

In aller Regel braucht man die fipbox also nicht, da man bei den Server zuhause stattdessen ja auch einfach diese IPv6-tauglich machen kann, z.B. indem man den IPv4-only-CCcam durch oscam ersetzt.
Auch hier gilt wieder, daß diese Aufgabe prinzipiell auch jedes andere Gerät im Heimnetz übernehmen kann, sogar der Server selber, wenn nämlich das Server-Gerät zwar IPv6 kann, aber das Server-Programm nicht.

Dazu wird der Tunnel einfach "andersherum" eingerichtet:

6tunnel -f -4 -6 12000 ipv4server.fritz.box 12000
-6 sagt 6tunnel, es solle auf IPv6 lauschen und -4 sagt ihm, er soll per IPv4 zum Server durchzuverbinden.
Wenn Du mal in die /etc/rc.local einer FipBox guckst, wirst Du genau diese Anweisung wiederfinden ...

Auf einem Windows-Rechner macht
netsh interface portproxy add v6tov4 listenport=12000 ipv4server.fritz.box 12000
wiederum das selbe.

Die fipbox braucht man also nur in einem Ausnahmefall:
Der Server ist reine Hardware bzw. softwaremäßig eine Blackbox (z.B. eine IP-Webcam)
und
Es steht kein anderes Gerät im Netzwerk zur Verfügung, das die Aufgabe der fipbox übernehmen kann.

Nen RPi habe ich bereits. Nun habe ich folgende Frage: Auf dem RPi läuft bereits eine Software zur Hausautomation (Fhem, falls es jmd was sagt)!

fhem kann IPv6.
Man muß es nur in der Config entsprechend eintragen.

BS ist Raspbian! Nun ist die Frage, ob ich mir diese Installation evtl. zerschieße, wenn ich da die FipBox Software zusätzlich installiere? Im Skript habe ich nichts ungewöhnliches entdeckt! Es wird jedoch der User "Pi" in "Fipbox" geändert. Kann mir dazu jmd weiterhelfen?

Umbenannt wird nicht der Benutzer, sondern das Gerät (Also dessen Hostname wird geändert).

Du kannst das Script aber entsprechend einkürzen, indem Du die entsprechenden "if ... fi"-Blöcke löschst.

Ich habe hier mal eine einerseits abgespeckte, andererseits aber erweiterte Version des Installers:

Spoiler

#!/bin/bash

###################################################################
# FIP-Box Builder V.1.4  - 17.05.2014 by RMarticke@cosimo.de
# 
# Changelog
# 17.05.2014 
#    update_period changed to update_period_sec
# 09.04.2014 
#    dyndns checktime modified
# 06.03.2014 
#    libao not needed because of inadyn --disable audio
#    fipbox > /etc/hosts
# 04.02.2014
#    initial version
###################################################################


if grep ipv6 /etc/modules >> /dev/null ; then
 echo "IPv6 Modul bereits vorhanden."
else
 echo "IPv6 Modul nicht geladen. In /etc/modules eingetragen."
 echo ipv6 >> /etc/modules
fi

if [ -e /usr/bin/6tunnel ]; then
echo "6tunnel bereit installiert"
else
echo "Installiere 6tunnel"
apt-get update
apt-get -y install 6tunnel
fi

if [ -e /usr/local/bin/inadyn-mt ]; then
echo "Dynamic DNS Updater bereits installiert"
else
echo "Dynamic DNS Updater wird heruntergeladen und kompiliert"
# not needed because of nosound 
#apt-get install -y libao-dev
wget http://sourceforge.net/projects/inadyn-mt/files/latest/download -O /tmp/inadyn.tgz
cd /tmp
tar xzf /tmp/inadyn.tgz
cd inadyn-mt*
./configure --disable-sound
make
make install
fi

##### Starten der Portmapper oder DynamicDNS Updater ueber rc.local checken
grep -v fipbox /etc/rc.local > /tmp/rc.local.tmp
grep -v "exit 0" /tmp/rc.local.tmp > /etc/rc.local
cat << 'EOF' >> /etc/rc.local
cat /etc/fipbox | grep "#AKTIV#DYNDNS6#" | awk -F "#" '{print "rm -rf /tmp/"$4"-IPv6 && mkdir -p /tmp/"$4"-IPv6 && /usr/local/bin/inadyn-mt --background --cache_dir /tmp/"$4"-IPv6 --dyndns_system dyndns@dyndns.org --username $5 --password $6 --update_period_sec "$7" --ip_server_name ipv6.whatismyv6.com / --alias "$4" ip6"}' | sh
cat /etc/fipbox | grep "#AKTIV#DYNDNS4#" | awk -F "#" '{print "rm -rf /tmp/"$4"-IPv4 && mkdir -p /tmp/"$4"-IPv4 && /usr/local/bin/inadyn-mt --background --cache_dir /tmp/"$4"-IPv4 --dyndns_system dyndns@dyndns.org --username $5 --password $6 --update_period_sec "$7" --ip_server_name ipv6.whatismyv6.com / --alias "$4" ip4"}' | sh
cat /etc/fipbox | grep "#AKTIV#FREEDNS6#" | grep -v ihr-hash | awk -F "#" '{print "rm -rf /tmp/"$4"-IPv6 && mkdir -p /tmp/"$4"-IPv6 && /usr/local/bin/inadyn-mt --background --cache_dir /tmp/"$4"-IPv6 --dyndns_system default@freedns.afraid.org --update_period_sec "$6" --ip_server_name ipv6.whatismyv6.com / --alias "$4","$5" ip6"}' | grep -v ihr-hash | sh
cat /etc/fipbox | grep "#AKTIV#FREEDNS4#" | grep -v ihr-hash | awk -F "#" '{print "rm -rf /tmp/"$4"-IPv4 && mkdir -p /tmp/"$4"-IPv4 && /usr/local/bin/inadyn-mt --background --cache_dir /tmp/"$4"-IPv4 --dyndns_system default@freedns.afraid.org --update_period_sec "$6" --ip_server_name ipv4.whatismyv6.com / --alias "$4","$5" ip4"}' | grep -v ihr-hash | sh
cat /etc/fipbox | grep "#AKTIV#DNS#" | grep -v ihr-name | awk -F "#" '{print "/usr/local/bin/inadyn-mt --background --dyndns_server_name members.feste-ip.net --username "$5" --update_period_sec 124 --ip_server_name v6.checkip.feste-ip.net / --password \""$6"\" --alias "$4" ip6"}' | grep -v ihr-name | sh
cat /etc/fipbox | grep "#AKTIV#PORTMAPPER#" | grep -v IPv4ZielIP | awk -F "#" '{print "/usr/bin/6tunnel -6 "$4" "$5" "$6}' | sh
cat /etc/fipbox | grep "#AKTIV#4TO6MAPPER#" | awk -F "#" '{print "/usr/bin/6tunnel -f "$4" "$5" "$6}' | sh

exit 0
EOF

if [ -e /etc/fipbox ]; then
echo "Konfigdatei /etc/fipbox vorhanden"
else
echo "Konfigdatei /etc/fipbox nicht vorhanden. Erstelle Basisconfig"
cat << 'EOF' > /etc/fipbox
################################################################################
# FIP-Box Einstellungen                                                        #
################################################################################
#                                                                              #
# Diese Datei steuert mit einfachen Konfigurationszeilen die FIP-Box           #
#                                                                              #
# Um einen Portmapper zu erstellen tragen Sie die Daten bitte wie folgt ein :  #
# #AKTIV#PORTMAPPER#IPv6Port#IPv4ZielIP#IPv4Port                               #
#                                                                              #
# Den Updateclient fuer das dynamische DNS koennen Sie wie folgt aktivieren :  #
# #AKTIV#DNS#ihr-name.feste-ip.net#HOSTID#Passwort                             #
#                                                                              #
# Wenn Sie mit den Einstellungen fertig sind druecken Sie [STRG][X] [Y] [ENTER]#
# um die Einstellungen zu speichern.                                           #
#                                                                              #
# Starten Sie Ihre Box dann mit sudo reboot neu.                               #
#                                                                              #
################################################################################

#INAKTIV#DNS#ihr-name.feste-ip.net#12345#Passwort
#INAKTIV#PORTMAPPER#2222#192.168.3.30#22
#INAKTIV#4TO6MAPPER#80#2001:db8:affe:c0c0::1#80
#INAKTIV#4TO6MAPPER#12000#ipv6server.dyndns.org#12000
#INAKTIV#FREEDNS4#ihr-ipv4-host#ihr-hash#Intervall
#INAKTIV#FREEDNS6#ihr-ipv6-host#ihr-hash#Intervall
#INAKTIV#DYNDNS4#ihr-ipv4-host#Benutzername#Passwort#Intervall
#INAKTIV#DYNDNS6#ihr-ipv6-host#Benutzername#Passwort#Intervall
EOF

cat << 'EOF' >> /etc/motd



    _|_|  _|            _|
  _|          _|_|_|    _|_|_|      _|_|    _|    _|
_|_|_|_|  _|  _|    _|  _|    _|  _|    _|    _|_|
  _|      _|  _|    _|  _|    _|  _|    _|  _|    _|
  _|      _|  _|_|_|    _|_|_|      _|_|    _|    _|
              _|
              _|                     by feste-ip.net



Einstellung bearbeiten  --> sudo nano /etc/fipbox
Neustart                --> sudo reboot
IP-Adressen anzeigen    --> ifconfig

EOF

fi

Dieser Installer ist um die Umbenennung des Pi und die Änderung des Benutzerkennworts reduziert, dafür richtet er die Box aber auch für umgekehrte Portmapper (Also 4to6) und Updates bei freedns.afraid.org vor.
Prinzipiell sollten auch IPv4- und IPv6-Updates bei Dyn.com gehen, aber das habe ich nicht getestet.

Und dann noch ne Frage zu Oscam: Server läuft auf ner DM500HD, jedoch alles noch IPv4! Da nun der Wechsel zu v6 ansteht, die Frage: Was ist am besten? oscam auf der DM500HD mit ipv4 belassen, per ipv4tunnel in ipv6 packen und auf der Gegenseite wieder auspacken oder gibt es die Möglichkeit bzw. macht er mehr Sinn, oscam direkt auf dem rpi oder sogar der FB laufen zu lassen?

Ich würde den oscam durch einen IPv6-tauglichen ersetzen.
Bei Newnigma2 geht die Umstellung der Box selber auf IPv6 wie folgt (Ohne Gewähr, was Dream da als Software abliefert ist eine Frechheit):

cd /
opkg update && opkg upgrade
opkg install kernel-module-ipv6
modprobe ipv6
reboot

... bei den meisten anderen Images ist IPv6 schon fertig drin ...
... einfach mit

ifconfig

überprüfen, ob die Box schon eine IPv6 erhält.

Dann noch die Zeile httpallowed in oscam.conf anpassen:

httpallowed = 127.0.0.1,0.0.0.0-255.255.255.255,fd00::-fdff:ffff:ffff:ffff:ffff:ffff:ffff:ffff,2000::-3fff:ffff:ffff:ffff:ffff:ffff:ffff:ffff,::1

und die Link ist nicht mehr aktiv..

Siehe auch hier.

Was Du danach machst, ist allein Dein Bier. oscam auf dem Pi statt auf der Gurke DM500HD macht schon Sinn.

 

[Michi240281]

AW: Glasfaser IPv6 kein VPN usw.

Hallo Schimmelreiter,

besten Dank für deine ausführliche Antwort! Da blick ich kaum noch durch! ;-) Aber eins habe ich verstanden: Ich benötige wohl für mein Vorhaben keinen Account bei feste-IP, was mir sehr gelegen käme.

Ich will mal kurz schildern, welche Geräte ich habe und was ich damit genau anstellen will:

- In Kürze hoffentlich P1022, dahinter dann FB7390 (die dann die IPv6 "Organisation" übernimmt)
- RPi (ist bereits IPv6 fähig und openvpn 2.3.4 läuft darauf)
- DM500HD (bislang nur per IPv4 angebunden; darauf OSCAM)
- QNAP 419P (kann ich diesen IPv6 tauglich machen?)
- PC, Laptop und iPad, die aber von außen nicht erreichbar sein müssen
- iPhone (IPv4-only im Mobilfunknetz)

Das 2. Thema für mich ist: Ich möchte aus dem Mobilfunknetz mit dem iPhone mindestens Zugriff auf Fhem (also auf den RPi) (muss man Fhem extra IPv6 fähig machen? Reicht es nicht wenn der RPi ne IPv6 hat?) und auf die DM500HD haben (damit ich von unterwegs Timer setzen kann etc.). Sooooooo...........wie mache ich das nun ohne feste-ip Account? vServer hast du gesagt! Den habe ich nicht! Wäre dann wohl auch teurer als der feste-ip Account?!? So wie ich es sehe würde man bei feste-ip pro Gerät, was man von außen erreichen will, 365credits pro Jahr benötigen. Das heißt, wenn ich RPi und DM500HD erreichen will, wären es 730 credits und damit etwa 10€/Jahr. Wie sieht es aus, wenn ich ein 2. iphone einbinden wollte? Bräuchte man dann wieder 2 zusätzliche Ports? Die IPv4 Adresse bei feste-ip wäre ja dieselbe, es ist nur ein anderer Client! Müsste doch dann bei 10€/Jahr bleiben, oder? Am liebsten wäre mir die ganze Geschichte dann auch per VPN, das bietet feste-ip ja auch an. Wie würde das dann funktionieren?

EIDT: Habe gerade nochmal nachgelesen bei feste-ip! Wenn ich nur vom iphone (IPv4) auf Heimnetzgeräte zugreifen will, die IPv6 unterstützen, benötige ich die fipbox Software garnicht! Das wäre ja schon mal ne Info! Nun würde ich aber am liebsten folgendes machen: Ich hätte gerne eine VPN Verbindung zwischen meinem iPhone und dem Heimnetz! Dafür brauche ich dann wohl nur einen einzigen Portmapper und kann trotzdem alle Geräte im Heimnetz erreichen. In der Anleitung haben die ein Skript, was man allerdings nicht ausführen soll/kann, wenn man bereits openVPN drauf hat (was bei mir der Fall ist), da sonst alle vorherigen Freigaben gelöscht werden. Wie mache ich das also nun? Kann mir diesebezüglich jmd weiterhelfen? Wenn das alles funktionieren würde, welche iOS App muss/kann man denn dann dafür nehmen?

Ach, und falls das mit dem openVPN doch nicht hinhauen würde, bräuchte ich dann für ein Gerät mehrere Portmapper, wenn ich auf verschiedene Ports zugreifen will oder geht das dann mit einem? Also ein Portmapper pro Gerät oder pro Port, den man ansprechen will? Dann bräuchte ich nämlich schon mindestens 3 (RPi; Fhem auf RPi; DM500HD).

 

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

besten Dank für deine ausführliche Antwort! Da blick ich kaum noch durch! ;-)

Freut mich immer wieder, wenn ich leicht verständliche Hilfestellung geben konnte

Aber im Ernst:
Je mehr Fragen Du auf einmal stellst, desto länger und umfassender werden die Antworten.

- In Kürze hoffentlich P1022, dahinter dann FB7390 (die dann die IPv6 "Organisation" übernimmt)

Das wäre das Optimum.

- QNAP 419P (kann ich diesen IPv6 tauglich machen?)

Sollte es schon sein.

Gestern habe ich mit nem Kumpel folgendes umgesetzt, was auch funktioniert: Auf beiden RPis eine IPv6 openVPN-Verbindung

Hier direkt mal Stop:
Bei einem VPN muß man immer unterscheiden zwischen
- Trägernetz (Also i.d.R. das Internet, über das die Verbindung hergestellt wird)
und
- Payload (Das entstehende Netz zwischen den beiden Endpunkten, also das virtuelle (private) Netzwerk)

OpenVPN kann IPv6 auf beiden, es ist im Ergebnis jede Kombination möglich aus
- IPv6 als Trägernetz, Dual Stack als Payload
- IPv6 als Trägernetz, IPv6-only als Payload
- IPv6 als Trägernetz, IPv4-only als Payload
- IPv4 als Trägernetz, Dual Stack als Payload
- IPv4 als Trägernetz, IPv6-only als Payload
- IPv4 als Trägernetz, IPv4-only als Payload
- Dual Stack¹ als Trägernetz, Dual Stack als Payload
- Dual Stack¹ als Trägernetz, IPv6-only als Payload
- Dual Stack¹ als Trägernetz, IPv4-only als Payload

¹Bei Dual Stack als Trägernetz wird natürlich im Endeffekt für eine Verbindung auch nur ein Protokoll verwendet, man kann (und sollte) aber einen OpenVPN-Server so konfigurieren, daß er Clients über beide Protokolle annehmen kann.

hergestellt (bei mir noch mit dem demnächst auslaufenden Telekom-Anschluss) und bei ihm über ne Sixxs Adresse.

Welchen Provider und welche Anschlußart hat er?
Bleibt er dort oder wird er auch wechseln?

Danach dann einen ip4ip6 tunnel auf beiden Seiten eingerichtet, IPv4-Routen in der FB eingerichtet und danach lief dann OSCAM wieder.

Den ersten Teil davon verstehe ich nicht ganz.
Du kannst über IPv6 als Trägernetz eine OpenVPN-Verbindung zwischen zwei IPv6-Endpunkten aufbauen und trotzdem als Payload direkt auch IPv4 transportieren. Durch das VPN hindurch brauchst Du also keine v4tov6 oder v6tov4-Proxies.
In der Tat kannst Du durch das VPN hindurch - wenn Du für die Payload IPv4 oder Dual-Stack eingerichtet hast - oscam auch wie gewohnt weiterhin mit IPv4 laufen lassen .... oder CCcam ... oder mgcam ... oder oder oder ...

Das hat also funktioniert. Nun überlegen wir, ob wir es so lassen oder ob wir OSCAM jetzt auf meinen RPi drauf machen.

Das ist Dir überlassen

Wie Du siehst, hast Du unzählige Möglichkeiten.
Die einzig entfallende ist das direkte Annehmen von Verbindungen von außen über das veraltete IPv4-Protokoll mit Deinem eigenen Anschluß.

Benötigt man dazu zusätzliche Hardware?

Wenn der oscam auf dem Pi die Karten selber verwalten soll, braucht er natürlich noch Kartenleser.
Ich würde Smargos empfehlen und Dir meine andrehen, dann kann ich mir von dem Geld anständige Easymäuse kaufen ;>

Wir müssen nur schauen, wie wir dann das ganze über dyndns machen, weil ich denke dass sich meine IPv6 Adressen ja täglich ändern, oder wie ist das bei DGF?

Mein "Kontaktmann" mit DGF-Anschluß hat das selbe IPv6-Präfix, seitdem wir angefangen haben ...

Das ist aber das allergeringste Problem:
DynDNS-Updates erledigt die Fritz!Box für Dich, wenn Du einfach MyFritz!-Freigaben nutzt.
Für jedes Gerät, daß Du über MyFritz! freigibst, entsteht auch ein DynDNS-Hostname in der Form <Gerätename laut Fritz!Box>.<kryptische Buchstabenfolge>.myfritz.net, also z.B. "ultimo.tikghrtihagnibtb.myfritz.net".
Dieser Hostname wird von der Fritz!Box automatisch gepflegt und zwar sowohl mit der IPv4 des Anschlusses (Bei IPv4 hat man ja nur die eine, sofern überhaupt noch vorhanden) und der IPv6 des Gerätes.

Beispiel:
C:\>host ultimo.tikghrtihagnibtb.myfritz.net
ultimo.tikghrtihagnibtb.myfritz.net has address 37.201.123.234
ultimo.tikghrtihagnibtb.myfritz.net has IPv6 address 2001:db8:affe:c0c0:21d:ecff:fe56:1234

Daß dieser DynDNS-Host sch... kryptisch und nicht zu merken ist, löst man einfach, indem man sich bei freedns.afraid.org einen leichter zu merkenden Host als CNAME für ultimo.tikghrtihagnibtb.myfritz.net registriert.
Ein CNAME ist ein Alias, d.h. immer wenn dann der FreeDNS-Hostname aufgelöst werden soll, wird stattdessen der MyFritz!-Hostname aufgelöst, der CNAME bei FreeDNS braucht also auch keinerlei Pflege/Updates, weil die schon für den MyFritz!-Host erfolgen.

Beispiel:
C:\>host ultimo.chickenkiller.com
ultimo.chickenkiller.com is an alias for ultimo.tikghrtihagnibtb.myfritz.net.
ultimo.tikghrtihagnibtb.myfritz.net has address 37.201.123.234
ultimo.tikghrtihagnibtb.myfritz.net has IPv6 address 2001:db8:affe:c0c0:21d:ecff:fe56:1234

Das 2. Thema für mich ist: Ich möchte aus dem Mobilfunknetz mit dem iPhone mindestens Zugriff auf Fhem (also auf den RPi) (muss man Fhem extra IPv6 fähig machen? Reicht es nicht wenn der RPi ne IPv6 hat?)

Ich nutze fhem nicht, ich weiß also nicht, ob die evtl. in einer neueren Version fhem schon für Dual Stack vorkonfiguriert haben.
Ansonsten ist es aber wohl nur eine kleine Konfigurationsänderung.

Sooooooo...........wie mache ich das nun ohne feste-ip Account? vServer hast du gesagt! Den habe ich nicht! Wäre dann wohl auch teurer als der feste-ip Account?!?

Wenn Du einen hättest, bräuchtest Du dafür keinen feste-ip-Account ...
... andererseits kann Dein Bekannter/Freund diese Funktion genauso ausüben.

Sein - durch den SixXS-Tunnel dazu gewordener - Dual-Stack-Anschluß ist einerseits in der Lage, Deine IPv4-Verbindungen von außen (vom EiFon) anzunehmen und sie andererseits zu Deinem Anschluß per IPv6 (Oder durch das VPN) weiterzu-proxy-n.
Was anderes macht der feste-ip-Account auch nicht. Der einzige Haken ist die Anbindung Deines Bekannten. Seine Geschwindigkeit, insbesondere sein Upstream, begrenzt natürlich dann auch die Geschwindigkeit, mit der Du Daten zu Deinem Anschluß senden kannst. Um das Webif der Box oder fhem zu erreichen reicht aber auch DSL 16000 locker.

 

[Michi240281]

AW: Glasfaser IPv6 kein VPN usw.

Vielen Dank für deine ausführliche Antwort!

Wir haben heute folgendes versucht, leider sind wir nicht erfolgreich gewesen bzw. haben irgendwann mangels Lust erstmal aufgehört:

Ich habe einen Portmapper bei feste-ip auf meinen RPi mittels MyFritz Freigabe eingerichtet. Dann wollten wir eine OpenVPN Verbindung erstellen. Das hätte den Vorteil, dass wir für alles nur einen Portmapper bräuchten, über den dann verschiedene VPN-Verbindungen aufgebaut werden könnten. Das Skript, was auf feste-ip angeboten wird, wollte mein Kumpel nicht nehmen, weil dabei ja Daten auf einen Server hochgeladen werden. Zudem nutzt das Skript wohl einen static key. Der Kumpel ist bzgl. Linux echt versiert und wir haben 3 Stunden damit verbracht, Zertifikate etc. zu erstellen. Leider kam es immer zu einem TLS Error nach 60 Sekunden. So als würde der Client nicht "richtig" antworten! So aus dem Stehgreif ne Idee, was das sein könnte? Ports waren eingerichtet. Wir haben jedoch nicht den Standard-Port 1194 sondern einen anderen genommen. Kann es daran liegen? Naja so wie ich das sehe, können die OPENVPN Apps für iOS kein TLS, sodass wir dann eh auf static key ausweichen müssen. Ist der static key denn soooooo unsicher? Kumpel hat übrigens nur 4mbit down und 384kbit Upload, sodass ich dann doch lieber über feste-ip gehe!

So ich belasse es dann erstmal bei meiner o.a. Frage, sonst wird das wieder zu unübersichtlich. Diese Lösung finde ich im übrigen genial, wenn sie denn funktioniert, denn so können die oscam clients auf ipv4 bleiben und ich bin mit dem iphone auch im LAN und brauche dann wirklich für alles nur einen portmapper bei feste-ip.
Ich danke dir/Euch schon vorab vielmals für Eure Antwort(en)!!

 

[LoooL1977]

Wenn das mit dem sip account klappt würdest du mir wohl deine einstellungen der fritte für die telefonie zeigen ?? Hab jetzt seid 2 monaten schon den Anschluss und auch seid 2 monaten nur theater mit den sip accounts :-(

 

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

[OpenVPN]

Ich würde wie folgt vorgehen:

1. Eine Konfiguration für die Vernetzung zwischen Euch beiden erstellen, die per IPv4 funktioniert (Habt Ihr ja beide noch)
   In dieser sollte Deine Seite Server sein.
2. Erst danach:
   In der OpenVPN-Config Deiner Seite (Server)
   proto tcp-server -> proto tcp6-server
   bzw.
   proto tcp -> proto tcp6
3. Erneuter Test ...
   Die Config MUSS so immer noch laufen, denn bei proto udp6 oder proto tcp6 funktioniert der OpenVPN immer noch auch per IPv4 (De facto meint proto tcp6 bzw. proto udp6 nämlich proto udpbeides und proto txcpbeides )
4. Danach auf Client-Seite
   proto tcp-client -> proto tcp6-client
   bzw.
   proto tcp -> proto tcp6
   Diese Config muß so ebenfalls noch laufen, der Client wird es in diesem Fall lediglich zuerst per IPv6 versuchen.
5. Prüfen, welches Protokoll genutzt wird.
   Mit
   netstat -tupen
   nachsehen, ob OpenVPN die Verbindung wirklich per IPv6 aufgebaut hat.
   Wenn nicht: Portfreigabe prüfen.
6. Erst dann die Server-Adresse auf Client-Seite austauschen
   Nämlich Deine IPv4/IPv4-DynDNS-Adresse einfach nur durch die von feste-ip zugeteilte ersetzen.

Wenn alle Schritte bis auf den letzten klappen, läßt das nur den Schluß zu, daß man ein OpenVPN nicht über einen per 6tunnel proxied Port aufbauen kann.

Diese Lösung finde ich im übrigen genial, wenn sie denn funktioniert, denn so können die oscam clients auf ipv4 bleiben

Dir ist schon klar, daß Du natürlich innerhalb Deines LANs auch weiterhin IPv4 hast und auch ausgehend IPv4-Verbindungen aufbauen können wirst?
Was Glasfaser Deutschland da schaltet ist auch kein DS-lite, sondern "nur" CGN bei IPv4 (natürlich plus vollwertiges IPv6, zumindest theoretisch).
Bei DS-lite wird IPv4-Traffic getunnelt, was z.B. die MTU senkt und die Latenz erhöht, bei CGN wird "nur" ge-NAT-ted, aber nix getunnelt.

Insofern kannst Du Clients sowieso auf IPv4 lassen, wenn Du das willst.
Und wenn Du Glück hast, kannst Du sogar das eingebaute AVM-VPN zwischen zwei Fritz!Boxen weiterbenutzen, mit dem einzigen Problem, daß der Verbindungsaufbau immer nur von Dir zur anderen Seite hin erfolgen kann, aber nicht umgekehrt (Also auch nicht vom EiFon nach Hause).
Erfolgt also auf der anderen Seite eine (Zwangs-)Trennung, wird es länger dauern, bis die Verbindung wieder steht, als wenn beide Seiten gegenseitig die Verbindung aufbauen könnten.

Die AVM-VPN-Netzwerkkopplung funktioniert so:

1. Jede Seite ist gleichberechtigt und versucht, die Verbindung zur Gegenseite zu halten.
2. Erfolgt auf einer Seite eine (Zwangs-)Trennung, so erfolgt sofort ein erneuter Verbindungsversuch.
3. Dieser wird in aller Regel zuerst von der zwangsgetrennten Seite zur anderen Seite hin gelingen, da es immer etwas dauert, bis der für den Verbindungsaufbau genutzte DynDNS-Host aktualisiert ist, so daß für ca. 1-2 Minuten die getrennte Seite nicht mehr unter ihrem DynDNS-Host (Der noch auf die alte IP zeigt) auffindbar ist.
   Deshalb habe ich auch lieber einen 100-MBit/s-Glasfaser-Deutschland-Server mit IPv6 und 1ms Ping als Reader/Proxy, als einen DSL-16000-24h-Zwangstrennungs-Rotzserver mit IPv4 und 30ms Ping, bei letzteren hat man nämlich im oscam das selbe Problem ...
   
   Bei der nicht getrennten Seite hingegen paßt der DynDNS ja noch, so daß die getrennte Seite dorthin problemlos verbinden kann.
   Dieser nahezu nahtlose Wiederaufbau der Verbindung entfällt natürlich, wenn die zwangsgetrennte Seite gar keine Verbindung zur anderen Seite (Also Dir) aufbauen kann. Dann ist das VPN so lange unterbrochen, bis der DynDNS der getrennten Seite wieder paßt und die CGN-Seite die Verbindung wiederherstellen kann...

 

[Michi240281]

AW: Glasfaser IPv6 kein VPN usw.

Wenn das mit dem sip account klappt würdest du mir wohl deine einstellungen der fritte für die telefonie zeigen ?? Hab jetzt seid 2 monaten schon den Anschluss und auch seid 2 monaten nur theater mit den sip accounts :-(

Klar, ich hoffe es gibt da keine Probleme! Dann hoffe ich, die einfach in die FB übertragen zu können. Welche Daten benötigt man denn überhaupt (also was muss man in die FB eintragen)? In dem Schreiben stehen nur die Telefonnummern und Benutzernamen. Was brauche ich sonst? Auf der FLINK Webseite gibts ne Anleitung zur Einrichtung der Fritzboxen. Da steht auch wie man die SIP Accounts da eintragen muss. Ich denke mal, ich brauche denn die Angaben zu

- Benutzername
- Kennwort
- Registrar

oder? Wo bekomme ich die her? Hast du die? Warum schicken die ISPs die nötigen Infos nicht im Schreiben mit?

 

[Michi240281]

AW: Glasfaser IPv6 kein VPN usw.

Ich würde wie folgt vorgehen:

1. Eine Konfiguration für die Vernetzung zwischen Euch beiden erstellen, die per IPv4 funktioniert (Habt Ihr ja beide noch)
   In dieser sollte Deine Seite Server sein.
2. Erst danach:
   In der OpenVPN-Config Deiner Seite (Server)
   proto tcp-server -> proto tcp6-server
   bzw.
   proto tcp -> proto tcp6
3. Erneuter Test ...
   Die Config MUSS so immer noch laufen, denn bei proto udp6 oder proto tcp6 funktioniert der OpenVPN immer noch auch per IPv4 (De facto meint proto tcp6 bzw. proto udp6 nämlich proto udpbeides und proto txcpbeides )
4. Danach auf Client-Seite
   proto tcp-client -> proto tcp6-client
   bzw.
   proto tcp -> proto tcp6
   Diese Config muß so ebenfalls noch laufen, der Client wird es in diesem Fall lediglich zuerst per IPv6 versuchen.
5. Prüfen, welches Protokoll genutzt wird.
   Mit
   netstat -tupen
   nachsehen, ob OpenVPN die Verbindung wirklich per IPv6 aufgebaut hat.
   Wenn nicht: Portfreigabe prüfen.
6. Erst dann die Server-Adresse auf Client-Seite austauschen
   Nämlich Deine IPv4/IPv4-DynDNS-Adresse einfach nur durch die von feste-ip zugeteilte ersetzen.

Wenn alle Schritte bis auf den letzten klappen, läßt das nur den Schluß zu, daß man ein OpenVPN nicht über einen per 6tunnel proxied Port aufbauen kann.

VIELEN DANK! Das werden wir dann als nächstes probieren!! Zwischen Schritt 4 und 5 ist mir was nicht klar: Ich tausche ja erst bei Schritt 6 die IPv4 Adresse gegen die von feste-ip aus. D.h. doch, dass ich bei Schritt 5 noch auf IPv4 bin (die Verbindungen, die wir beide noch haben (Telekom)). Du schreibst aber, wir sollen nachsehen, ob die Verbindung per v6 aufgebaut wird. Das verstehe ich nicht ganz! Ich habe es so verstanden, dass ich erst für Schritt 6 auf die Glasfaserleitung umstecke?!?

Dir ist schon klar, daß Du natürlich innerhalb Deines LANs auch weiterhin IPv4 hast und auch ausgehend IPv4-Verbindungen aufbauen können wirst?
Was Glasfaser Deutschland da schaltet ist auch kein DS-lite, sondern "nur" CGN bei IPv4 (natürlich plus vollwertiges IPv6, zumindest theoretisch).
Bei DS-lite wird IPv4-Traffic getunnelt, was z.B. die MTU senkt und die Latenz erhöht, bei CGN wird "nur" ge-NAT-ted, aber nix getunnelt.

Insofern kannst Du Clients sowieso auf IPv4 lassen, wenn Du das willst.
Und wenn Du Glück hast, kannst Du sogar das eingebaute AVM-VPN zwischen zwei Fritz!Boxen weiterbenutzen, mit dem einzigen Problem, daß der Verbindungsaufbau immer nur von Dir zur anderen Seite hin erfolgen kann, aber nicht umgekehrt (Also auch nicht vom EiFon nach Hause).
Erfolgt also auf der anderen Seite eine (Zwangs-)Trennung, wird es länger dauern, bis die Verbindung wieder steht, als wenn beide Seiten gegenseitig die Verbindung aufbauen könnten.

Die AVM-VPN-Netzwerkkopplung funktioniert so:

1. Jede Seite ist gleichberechtigt und versucht, die Verbindung zur Gegenseite zu halten.
2. Erfolgt auf einer Seite eine (Zwangs-)Trennung, so erfolgt sofort ein erneuter Verbindungsversuch.
3. Dieser wird in aller Regel zuerst von der zwangsgetrennten Seite zur anderen Seite hin gelingen, da es immer etwas dauert, bis der für den Verbindungsaufbau genutzte DynDNS-Host aktualisiert ist, so daß für ca. 1-2 Minuten die getrennte Seite nicht mehr unter ihrem DynDNS-Host (Der noch auf die alte IP zeigt) auffindbar ist.
   Deshalb habe ich auch lieber einen 100-MBit/s-Glasfaser-Deutschland-Server mit IPv6 und 1ms Ping als Reader/Proxy, als einen DSL-16000-24h-Zwangstrennungs-Rotzserver mit IPv4 und 30ms Ping, bei letzteren hat man nämlich im oscam das selbe Problem ...
   
   Bei der nicht getrennten Seite hingegen paßt der DynDNS ja noch, so daß die getrennte Seite dorthin problemlos verbinden kann.
   Dieser nahezu nahtlose Wiederaufbau der Verbindung entfällt natürlich, wenn die zwangsgetrennte Seite gar keine Verbindung zur anderen Seite (Also Dir) aufbauen kann. Dann ist das VPN so lange unterbrochen, bis der DynDNS der getrennten Seite wieder paßt und die CGN-Seite die Verbindung wiederherstellen kann...

Das ist mir klar. Aber das bedeutet, ich kann eine IPv4 openVPN Verbindung herstellen, obwohl ich vom kumpel nicht per v4 erreichbar bin? Das wäre ja genial!! Und wenn wir noch dazu die die AVM VPNs benutzen könnten, umso besser.

 

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

VIELEN DANK! Das werden wir dann als nächstes probieren!! Zwischen Schritt 4 und 5 ist mir was nicht klar: Ich tausche ja erst bei Schritt 6 die IPv4 Adresse gegen die von feste-ip aus. D.h. doch, dass ich bei Schritt 5 noch auf IPv4 bin (die Verbindungen, die wir beide noch haben (Telekom)). Du schreibst aber, wir sollen nachsehen, ob die Verbindung per v6 aufgebaut wird. Das verstehe ich nicht ganz! Ich habe es so verstanden, dass ich erst für Schritt 6 auf die Glasfaserleitung umstecke?!?

Du sollst den Anschluß während des ganzen Tests nicht wechseln, sonst holst Du Dir ja eine neue potentielle Fehlerquelle hinein.
Ich war nach Deinen Beschreibungen davon ausgegangen, daß Du auf Deiner Seite bereits IPv6 hast (Bei Telekom All-IP hättest Du nämlich "Dual Stack", es ist nur evtl. noch im Router deaktiviert).

Dann wäre es nur ein Wechsel ...
Telekom IPv4 Du <> Telekom IPv4 Er
Telekom IPv6 Du <> SixXS IPv6 Er

Wenn es nicht so ist, frage ich mich, was Ihr getestet habt ... Dann kann der feste-ip-Portmapper ja nicht funktionieren, denn der soll ja von der IPv4 von feste-ip.net auf Deine IPv6 verweisen ... wie soll er das, wenn Du kein IPv6 hast?

Also nochmal von vorn ....
Als DynDNS für Deine Seite verwendet Ihr am besten den MyFritz!-Dienst.

Testreihenfolge:

1. Telekom IPv4 Du <> Telekom IPv4 Er (Beide Seiten "proto tcp", bzw. tcp-server und tcp-client)
   Verbindung muß zustande kommen, sonst ist an Euren OpenVPNs oder dessen Konfiguration was faul.
2. Telekom (oder SixXS) IPv6 Du <> Telekom IPv4 Er (Deine Seite "proto tcp6" bzw. tcp6-server, seine Seite "proto tcp" bzw. "tcp-client")
   Verbindung muß immer noch zustande kommen und zwar über IPv4, weil dann seine Seite konfigurationsseitig immer noch auf IPv4 eingeengt ist.
   Auf Deiner Seite ändert sich so gesehen zu diesem Zeitpunkt nur, daß der OpenVPN-Server nun theoretisch auch Verbindungen über IPv6 annehmen könnte.
   
   Wenn Punkt 1 gelingt und Dein OpenVPN wirklich IPv6-tauglich ist, gibt es kein valides Szenario, in dem Punkt 2 schiefgehen darf.
3. Telekom (oder SixXS) IPv6 Du <> SixXS IPv6 Er (Beide Seiten "proto tcp6" bzw. tcp6-server und tcp6-client)
   Verbindung muß immer noch zustande kommen und zwar diesmal über IPv6.
   Da nun beide Seiten für IPv6 konfiguriert sind, muß die Verbindung auch über das bessere IPv6 zustande kommen.
   
   Wenn Punkt 1 und 2 gelingen, Du einen IPv6-tauglichen DynDNS-Dienst benutzt, eine korrekte IPv6-Freigabe eingerichtet hast und beide OpenVPN wirklich IPv6-tauglich sind, gibt es kein valides Szenario, in dem Punkt 3 schiefgehen darf.
   D.h. wenn Punkt 3 scheitert, dann hast Du die IPv6-Freigabe in Deiner Fritz!Box nicht richtig angelegt bzw. das DynDNS-Update für den MyFritz!-Hostname des Zielgerätes ist fehlgeschlagen.
4. Telekom (oder SixXS) IPv6 + feste-ip-Portmapper Du <> Telekom IPv4 Er (Deine Seite "proto tcp6" bzw. tcp6-server, seine Seite "proto tcp" bzw. tcp-client)
   Bei diesem Punkt rüsten wir seine Seite gedanklich wieder auf IPv4 ab, um Deine Situation im Mobilfunknetz nachzuempfinden.
   In diesem Schritt wird dann auch aus
   remote raspberry.gbuidrbgtnrthintbgueorgh.myfritz.net 1194
   remote de3.portmap64.net 15466
   wobei de3.portmap64.net Port 15466 die Adresse/der Port ist, der Dir beim Anlegen des feste-ip-Portmappers auf raspberry.gbuidrbgtnrthintbgueorgh.myfritz.net 1194 zugeteilt wurde.

Das ist mir klar. Aber das bedeutet, ich kann eine IPv4 openVPN Verbindung herstellen, obwohl ich vom kumpel nicht per v4 erreichbar bin?

Du kannst eine OpenVPN-Verbindung über ein IPv6-Trägernetz (Das Internet) herstellen und als Payload (Also im entstehenden virtuellen Netz) trotzdem auch oder sogar ausschließlich IPv4 transportieren, ja.

Und wenn wir noch dazu die die AVM VPNs benutzen könnten, umso besser.

Das ist erst einmal einfach nur eine Behauptung.
Ich wüßte zwar nicht, wieso es nicht gehen sollte, denn im Mobilfunk hast Du genau dieselbe Situation (IPv4 nur als IPv4-CGN) und von dort kannst ja auch eine AVM-VPN-Verbindung nach Hause aufbauen (Wenn Du dort "normales" IPv4 hast), also muß es zwischen einem IPv4-CGN-Festnetzanschluß und einem "normalen" IPv4-Anschluß an sich genauso funktionieren.
Natürlich mit der genannten Einschränkung, daß nur die CGN-Seite die Verbindung initiieren kann.

Das bedeutet dann, dass der OSCAM Client dennoch Schlüssel bekommt, obwohl ich nur per v4 "senden" und nix empfangen kann?

Ja.
Eine Aufrüstung auf IPv6-Tauglichkeit macht aber trotzdem Sinn, weil Du ansonsten für niemanden als Server fungieren kannst ohne erst eine VPN-Verbindung zu ihm herzustellen und das ist ein Sicherheitsrisiko.

Wie müssten wir die AVM VPN configs denn dann verändern?

Im Idealfall gar nicht.

Was ich generell machen würde, völlig unabhängig vom Thema IPv4 und IPv6, ist eine Umstellung der für die Verbindung verwendeten Adressen auf die MyFritz!-Hostnames der Boxen, wenn noch nicht geschehen.
Seit des no-ip-Desasters und der Einstellung des kostenlosen Dyn.com-Dienstes würde ich keinem externen Dienstleister mehr zutrauen, daß seine DynDNS-Adressen auch in einem halben Jahr noch funktionieren.

 

[Michi240281]

AW: Glasfaser IPv6 kein VPN usw.

Ok, habe ich alles verstanden. Ich habe noch nen Telekom Anschluss für etwa 2 Wochen, diese hat Dual Stack. Letztens einfach mal getestet und siehe da, IPv4 und IPv6 erhalten.

Wir haben ja eine OPENVPN Verbindung herstellen können (von seinem IPv4/IPv6 Anschluss (er hat auch Dual Stack von Net Aachen über meinen feste-ip portmapper), aber eben nur mit dem static key. Mit Zertifikaten gabs immer den o.g. Fehler, aber vllt ist da auch nur was beim Erstellen schief gelaufen. Wir werden nun aber halt beim static key bleiben, den wir dann schließlich per USB-Stick austauschen. Ich denke das sollte ja auch ausreichend Sicherheit bieten.

Wir haben nur ein/folgendes Problem: Die VPN-Verbindung war aufgebaut, jedoch hatten die Geräte wohl keine IP, daher konnte man nix anpingen und so kann man ja auch keine Routen einrichten. Hast du vllt ne Ahnung, wie man das machen muss?

Und was für mich dann auch interessant wird: Wie erstelle ich die Verbindung zum iPhone? Hab mir gestern schonmal die iOS App OPENVPN installiert, hab aber (noch) keine AHnung, wie man das dann am iPhone konfiguriert.

Mal ne Frage am Rande: Mit der Angabe meiner MyFritz Freigabe bei feste-ip können die doch einfach bei mir drauf, oder nicht?

 

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

Ok, habe ich alles verstanden. Ich habe noch nen Telekom Anschluss für etwa 2 Wochen, diese hat Dual Stack. Letztens einfach mal getestet und siehe da, IPv4 und IPv6 erhalten.

Nalso.

Wir haben ja eine OPENVPN Verbindung herstellen können (von seinem IPv4/IPv6 Anschluss (er hat auch Dual Stack von Net Aachen über meinen feste-ip portmapper), aber eben nur mit dem static key. Mit Zertifikaten gabs immer den o.g. Fehler, aber vllt ist da auch nur was beim Erstellen schief gelaufen.

Es ist durchaus möglich, OpenVPN so zu bauen, daß er später schlichtweg nicht mit Zertifikaten funktioniert.

Sie müssen registriert sein, um Links zu sehen.

.
Sagen tut er deshalb trotzdem nix, was auf dieses Problem hindeuten würde, weder beim Bauen noch im Betrieb (Auf den sh4-Boxen gab's einen absolut nichtssagenden "Bus error", den spuckt OpenVPN aber immer aus, wenn ihm sonst nix einfällt).
Ich wüßte auch nicht, wo das Problem mit dem static key sein soll, genügend - auch kommerzielle - VPN-Lösungen verwenden "nur" einen static key.

Bei eine crypto-challenge kann so viel schiefgehen.
Z.B. sind die Zertifikate hierarchisch, der User wurde vom Server zertifiziert und der Server von einer CA Authority, wenn Du da einfach nur eine Ebene der Hierarchie nicht mit in die Dateien aufnimmst, klappt schon gar nix mehr.

Wieso Ihr allerdings so von hinten durch's Knie ins Auge arbeitet, erschließt sich mir beim besten Willen nicht.
Wozu einen Port-Mapper und zusätzliche Latenz, wenn Ihr doch beide IPv6 habt?
Baut die OpenVPN-Verbindung doch einfach direkt über IPv6 auf, das ist je EIN einziges Zeichen mehr in den Konfigurationsdateien ...

Das mit der "einseitigen" Verbindung wird wohl wirklich nicht klappen, da ja vom OSCAM Clienten keine Anfragen durchkommen und so wird auch der OSCAM Server nichts schicken. Ist zumindest aktuell mit den AVM VPNs so! Erst wenn der Kumpel seine Box einschaltet und OSCAM ne Anfrage anfordert, wird die AVM VPN Verbindung aufgebaut.

Dann ist aber was anderes faul.
Meine AVM-VPNs bauen sich alle direkt nach der Herstellung einer Internet-Verbindung auf, ob da was übertragen wird oder nicht.
Zur Not soll halt Deine Seite seiner Seite minütlich einen Ping senden.

Wir haben nur ein/folgendes Problem: Die VPN-Verbindung war aufgebaut, jedoch hatten die Geräte wohl keine IP, daher konnte man nix anpingen und so kann man ja auch keine Routen einrichten.

Zement mal:
Ich dachte, der Junge wäre fit?
Tatsächlich lese ich aber immer nur Belege darüber, daß er eigentlich nicht den blassesten Schimmer hat, was er tut, er will nur ganz ohne Mittel (Wissen) zu den Sternen (TLS, Routen, wie was?).

Fakt ist:
Ihr habt ein OpenVPN auf die ganz klassische Art und Weise aufgebaut, also über IPv4. Eure Probleme haben also überhaupt rein gar nichts mit IPv6 zu tun, sondern einzig und allein damit, daß er eine OpenVPN-Config haben will, die er gar nicht beherrscht.
Auch auf die Idee, bei Dir einen popligen cronjob
* * * * * /bin/ping -c 1 <IP seiner oscam-Maschine>
einzurichten, damit das AVM-VPN verbunden bleibt, kommt er nicht.

Verzeihung, aber der Typ ist ein Poser, das sind absolute Basics ...
Nur weil jemand 'ls' statt 'dir' tippen kann, macht ihn das nicht zum Linux-Profi.

Ein kleiner Tip von mir:
Zu den Sternen zu wollen ist immer Mist, das mußten schon Ikarus und Daedalus erfahren.
Eine vermeintlich sicherere, aber kompliziertere, Konfiguration kann ganz schnell nach hinten losgehen, wenn man sie gar nicht beherrscht.
Wahrscheinlich hat er auch gleich gesagt "Ah, tun ist einfacher, nehmen wir tap ...".

Habt Ihr z.B. überhaupt mal überprüft, ob Eure beiden OpenVPNs vom heartbleed-Bug betroffen sind?
Wenn sie das nämlich sind, kannst Du auch gleich eine unverschlüsselte Verbindung herstellen, dann ist der static key nämlich millionenfach sicherer!

Hier mal ein ganz simples Konfigurationsbeispiel (Statt einer E2-Box kann natürlich auch Dein Pi herhalten):

1. Auf der 1. Box eingeben:
   

   cd /etc/openvpn/
   openvpn --genkey --secret static.key

2. Die Datei /etc/static.key von der 1. Box auf die 2. Box kopieren
3. Auf der Server-Box (Deiner Seite) diese Config als /etc/openvpn/server.conf ablegen:
   

   dev tun
   ifconfig 10.8.0.1 10.8.0.2
   secret /etc/openvpn/static.key
   keepalive 10 60
   comp-lzo
   ping-timer-rem
   persist-tun
   persist-key
   port 1194
   proto tcp6-server

4. Auf der Client-Box diese /etc/openvpn/client.conf anlegen:
   

   remote <DynDNS des Servers, also der MyFritz!-Hostname Deines Pi>
   dev tun
   ifconfig 10.8.0.2 10.8.0.1
   secret /etc/openvpn/static.key
   keepalive 10 60
   comp-lzo
   ping-timer-rem
   persist-tun
   persist-key
   proto tcp6-client

5. Auf beiden Boxen eingeben:
   

   /etc/init.d/openvpn.sh start

6. Fertig

Danach baut OpenVPN eine Verbindung über IPv6 als Trägernetz, also über das IPv6-Internet auf, das funktioniert also auch weiter, wenn Du bei Fasglaser Deutschland bist.
Du bist dann 10.8.0.1 und er ist 10.8.0.2, also reines IPv4 als Payload.
Schlicht und geschmacklos, aber funktioniert.

Wieso meinen immer alle, aus allem Hexenwerk machen zu müssen?
Bei manchen Diskussionen könnte man meinen, die Leute ziehen sich auch die Hose mit der Kneifzange an.

Minimal-Configs, Leute, Minimal-Configs.
Und dann vielleicht zu den Sternen greifen und Routen pushen udgl. ...

Und was für mich dann auch interessant wird: Wie erstelle ich die Verbindung zum iPhone? Hab mir gestern schonmal die iOS App OPENVPN installiert, hab aber (noch) keine AHnung, wie man das dann am iPhone konfiguriert.

Keine Ahnung, mit 20cm in der Hose braucht man kein iPhone, ich hab Android.

Mal ne Frage am Rande: Mit der Angabe meiner MyFritz Freigabe bei feste-ip können die doch einfach bei mir drauf, oder nicht?

Auf die Ports, die Du freigegeben hast, so wie jeder andere auch, ja.

 

[Michi240281]

AW: Glasfaser IPv6 kein VPN usw.

Sooooooooooo!

Wir haben soeben nochmal bissel was getestet. Die VPN Verbindung steht, und wir haben auch das mit dem Payload IPv4 hinbekommen. Dabei ist dann jedoch der "IP Bereich" nicht vom/zum physischen LAN erreichbar. Die server.conf sieht folgendermaßen aus:

dev tun
port 6733
proto tcp6-server
#ifconfig-ipv6 fd22::1 fd22::2
ifconfig 10.8.1.1 10.8.1.2
push "route 192.168.188.0 255.255.255.0"
#server 10.8.0.0 255.255.255.0
#client-to-client
#push "redirect-gateway def1 bypass-dhcp"
secret static.key
script-security 2
up /etc/openvpn/backup2/server.up
#down /etc/openvpn/server.down
comp-lzo
keepalive 10 60
ping-timer-rem
persist-tun
persist-key
user nobody
group nogroup
#daemon
verb 3

Wie du siehst, haben wir schon ein paar Sachen probiert und dann wieder auskommentiert. Wir haben letztendlich nicht das hinbekommen, was wir benötigen würden, und das ist folgendes:

Mein Box hat 192.168.188.33, seine 192.168.178.175. Nun haben wir ja die VPN Verbindung hergestellt und das Payload ist dann 10.8.1.1 bei mir und 10.8.1.2 bei ihm. Nun bräuchten wir ja noch die Routen, damit Anfragen, die von ihm bei mir auf die 10.8.1.1 ankommen auf die 192.168.188.33 geroutet werden. Kannst du mir evtl. sagen, wie das funktioniert? Wir haben es dann mit den "push route"-Anweisungen probiert, dabei kommen pings aber nur von seinem zu meinem RPi durch, alles andere kommt scheinbar nicht durch. Klar könnten wir die Routen in der Fritzbox einrichten und alles würde laufen, aber das bringt mich eben mit dem iphone-Problem nicht weiter, denn da hab ich keine fritzbox in der ich die routen einstellen kann.

Der Grund, warum wir übrigens nicht direkt über die IPv6 Adressen, sondern über feste-ip portmapper gehen ist jener, dass ich ja auch übers iphone (was ja im mobilfunk nur per IPv4 angebunden ist) ins Heimnetz will. Und wenn wir es daher nur über die openvpn configs hinbekämen, könnte ich diese leicht adaptieren und fürs iphone nutzen.

Unser Hauptrpoblem ist also, dass wir gerade nicht wissen und es nicht hinbekommen haben, wie wir den traffic über das "VPN-LAN" 10.8.1.x an die 192.168.188.33 (meine Box) bzw. 192.168.178.175 (seine Box) geroutet bekommen.

Kannst du uns da helfen?

Besten Dank schon mal!!!!!!!

PS: Der Kumpel ist kein Linux-Profi denke ich mal, aber er ist da schon relativ fit. Kannte sich halt bis vor kurzem garnicht mit openvpn aus. Aber man lernt ja dazu!

EDIT: Kumpel hat mir gerade geschrieben, dass er rausgefunden zu glauben scheint, dass der Befehl push ein pull beim Clienten voraussetzt und das würde nur mit TLS gehen, also mit Zertifikaten! Aber damit kommt das iPhone dann eh nicht klar?!?!? Ach alles doof irgendwie!

 

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

Mein Box hat 192.168.188.33, seine 192.168.178.175. Nun haben wir ja die VPN Verbindung hergestellt und das Payload ist dann 10.8.1.1 bei mir und 10.8.1.2 bei ihm.

Das Problem ist, daß auch ich kein OpenVPN-Profi bin.
Ich kann Dir helfen, ein funktionierendes OpenVPN über IPv6 statt über IPv4 aufzubauen, aber nicht, aus dem Nichts eine umfassende OpenVPN-LAN-LAN-Kopplung zu basteln.

Und das mit dem Payload hast Du nicht begriffen:
Payload meint einfach den Traffic, der durch den Tunnel hindurch transportiert wird.
Der bzw. dessen Protokoll (IPv6, IPv4 oder beides) ist unabhängig davon, über welches Protokoll die Verbindung zwischen den beiden Endpunkten im Internet hergestellt wird (IPv6 oder IPv4).

ifconfig 10.8.1.1 10.8.1.2
bzw. auf der anderen Seite umgekehrt
ifconfig 10.8.1.2 10.8.1.1
ist einfach nur die allerbanalste Art und Weise, den beiden verbundenen Maschinen im VPN IPv4-Adressen zuzuweisen um danach dazwischen IPv4-Traffic (Also Payload) zu transportieren ...

Nun bräuchten wir ja noch die Routen, damit Anfragen, die von ihm bei mir auf die 10.8.1.1 ankommen auf die 192.168.188.33 geroutet werden. Kannst du mir evtl. sagen, wie das funktioniert? Wir haben es dann mit den "push route"-Anweisungen probiert,

... Routen war dabei gar keine Rede und ...

dabei kommen pings aber nur von seinem zu meinem RPi durch, alles andere kommt scheinbar nicht durch.

... das ist alles, was Du von der Minimalconfig von mir erwarten kannst.
Verbunden sind dann einfach nur die beiden Endpunkte, nicht mehr, also nur Dein Raspberry Pi und seiner (oder was auch immer er als Tunnelendpunkt eingerichtet hat).

Damit wäre es möglich, auf seinem Endpunkt einen oscam oder cccam oder oder oder laufen zu lassen und sich mit Deinem oscam, ... auf IPv4 10.8.1.1 zu verbinden.
Seinen anderen Clients auf anderen Geräten gelingt das dabei schon nicht mehr (Keine Route zum Host).

Je nachdem, was man ursprünglich bezweckt hat und wie innig das Verhältnis/Vertrauen zwischen den beiden Seiten ist, kann ja auch genau dieses Verhalten gewünscht sein.
Ich bin immer wieder baff, daß einige Leute einerseits zu schissig sind, oscam ausgehend über's Internet kommunizieren zu lassen, dann aber andererseits treudoof VPN-Configs einspielen, die ihr gesamtes LAN mit dem Server eines russischen Hackers (Oder wer auch immer den Pay-Server betreibt) koppelt.

Aber mal zurück zu Euch:

push "route 192.168.188.0 255.255.255.0"
auf Deiner Seite war schon richtig, soweit ich das beurteilen kann.

Damit hat Dein Server seiner Client-Seite mitgeteilt, daß sie das Subnet 192.168.188.0/24 durch das VPN routen/erreichen kann.
Es muß allerdings zusätzlich auch noch in Deiner Fritz!Box eine "statische Route" geben, daß die IPv4-Adresse 10.8.1.2 über Deinen Raspberry Pi geroutet werden soll, denn anders kann die Fritz!Box das nicht wissen, es ist halt IPv4, welches manuell konfiguriert werden muß, und nicht IPv6, welches Mechanismen zur automatischen Konfiguration bietet.

Der umgekehrte Weg, so daß auch Du sein gesamtes Netzwerk und nicht nur seinen Tunnel-Endpunkt erreichen kannst, ist schon deutlich schwieriger einzurichten.

Klar könnten wir die Routen in der Fritzbox einrichten und alles würde laufen, aber das bringt mich eben mit dem iphone-Problem nicht weiter, denn da hab ich keine fritzbox in der ich die routen einstellen kann.

Irgendwie schmeißt Du sehr viele Dinge durcheinander und denkst auch maximalst kompliziert.
Wieviele Geräte wollstest Du denn unterwegs so mit dem iPhone koppeln, damit diese Überlegung relevant würde?
Gerade Deinem iPhone reicht doch genau eine einzige IPv4-Adresse für sich selber plus einer durch's VPN gedrückten (push) Route in Dein Heimnetz.

Machen wir's mal ganz einfach und gehen zurück zur Minimal-Config, vergessen daraus aber die ifconfig-Angaben.

Du legst nun zwei verschiedene server.conf an, eine für Deinen Bekannten und eine für Dein iPhone:

In die eine schreibst Du:
ifconfig 192.168.255.254 192.168.255.1
und in die andere
ifconfig 192.168.255.254 192.168.255.2
und in beide
push "route 192.168.188.0 255.255.255.0"

In die zugehörigen client-configs kommt nun für Client 1
ifconfig 192.168.255.1 192.168.255.254
und für Client 2
ifconfig 192.168.255.2 192.168.255.254

In Deiner Fritz!Box trägst Du nun folgende statische IPv4-Route ein:
IPv4-Netzwerk 192.168.255.0
Subnetzmaske 255.255.255.0
Gateway <Die IPv4-Adresse Deines Pi im LAN, z.B. 192.168.188.2)

Das Ergebnis:
Die Clients erhalten die IPv4-Adressen 192.168.255.1 und 192.168.255.2, Dein Server ist die 192.168.255.254 (Alles aus den ifconfig-Zeilen).
Beide Clients wissen, daß sie das Subnet 192.168.188.0/24 (Also Dein Heimnetz) durch das VPN erreichen können (push-route) und Deine Fritz!Box weiß, daß sie Pakete mit dem Ziel 192.168.255.1 oder 192.168.255.2 (oder jeder anderen Adresse aus dem Subnet 192.168.255..0/24, also allen aktuellen und zukünftigen VPN-Clients an Deinem Server) über den Raspberry schicken muß.

Damit können beide Clients Dein gesamtes Heimnetz erreichen. Auf dem iPhone bist Du damit fertig, weil das eh nur das eine Gerät ist. Bei dem Netzwerk Deines Bekannten ist es halt so, daß er zwar Dein gesamtes Heimnetz erreichen kann, aber eben nur von seinem Tunnel-Endpunkt aus.

Der Grund, warum wir übrigens nicht direkt über die IPv6 Adressen, sondern über feste-ip portmapper gehen ist jener, dass ich ja auch übers iphone (was ja im mobilfunk nur per IPv4 angebunden ist) ins Heimnetz will. Und wenn wir es daher nur über die openvpn configs hinbekämen, könnte ich diese leicht adaptieren und fürs iphone nutzen.

Macht man aber nicht:
Wenn Du keine funktionierenden Configs hinbekommst, weißt Du nämlich nicht, wieso.

Kannst du uns da helfen?

Nein, ganz einfach weil ich mich nicht in der Tiefe mit OpenVPN auskenne.
Helfen kann Dir aber jeder, der das tut.

Eure OpenVPN-Probleme haben nämlich rein gar nichts mit IPv6 oder dem Anschluß von "Glasfaser Deutschland" zu tun, sondern einzig und allein mit der Konfiguration von OpenVPN selber.
Mit derselben Berechtigung könntest Du mich hier fragen, wie man diese, jene oder welche SQL-Abfrage schreibt, nur weil der SQL-Server über IPv6 angebunden ist. Damit bleibt aber die Frage nach der Formulierung der Abfrage ein reines SQL-Problem.

Bei einer vorhandenen und funktionierenden OpenVPN-Konfiguration (Bei der Dir andere besser helfen können) ist die Umstellung auf IPv6 als Transportnetz mit
proto tcp -> proto tcp6
bzw.
proto tcp-server -> proto tcp6-server
und
proto tcp-client -> proto tcp6-client
oder
proto udp -> proto udp6 (Wobei UDP nicht durch den Portmapper liefe)
erschöpfend behandelt.
Mehr ist da nicht zu können.