Glasfaser IPv6 kein VPN usw.

[Michi240281]

AW: Glasfaser IPv6 kein VPN usw.

Erneut vielen Dank!!!!!!

Wir werden das so ausprobieren und wenns läuft, prima!

 

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

Problem: Mein Heimnetz ist nur von seinem Tunnelendpunkt erreichbar. Damit er aber die OSCAM nicht auf den RPi machen muss, müssten wir es entweder schaffen, dass nicht nur sein Tunnelendpunkt mein Netzwerk erreichen kann, sondern auch seine Box, auf der der OSCAM läuft. Alternativ könnte er OSCAM auf den RPi bringen, oder? Er braucht ja dann keine Hardware und müsste dann nur von da zu seiner Box weiterleiten, oder geht das nicht?

Es gibt noch einen ganz banalen Weg ...

Wenn er
6tunnel -4 15000 192.168.255.254 15000
auf seinem Raspberry bzw. seinem OpenVPN Endpunkt startet
und in seinen Clients als device einstellt
192.168.178.x,15000
(Die IPv4 seines Pi in seinem LAN)
dann verbindet ihn sein Pi zu Deinem oscam durch (Sofern wenigstens der dort läuft, wo Dein Tunnelendpunkt ist), denn sein Pi als Tunnelendpunkt weiß ja, wie er den Host mit der IPv4 192.168.255.254 (Also Deinen OpenVPN-Server) erreichen kann.

Ungeachtet des Namens kann 6tunnel nämlich auch zu IPv4-Hosts durchverbinden.

Alternativ kann er natürlich seinen Tunnelendpunkt auch einfach dorthin verlegen, wo er gebraucht wird (Nämlich auf seine Box), bei den meisten E2-Images ist openvpn auf dem Feed und bei allen von OpenPLi oder oe-a abstammenden Images auch IPv6-tauglich:
OpenVPN 2.3.4 mipsel-oe-linux-gnu [SSL (OpenSSL)] [LZO] [EPOLL] [MH] [IPv6] built on Aug 12 2014

Feintuning: Es soll nicht das gesamte LAN beider Seiten vollständig erreichbar sein, sondern nur die Endpunkte, also wirklich nur die Boxen. Sonst könnte er ja bei mir von jedem seiner Geräte auf jedes Gerät von mir zugreifen. Das wollen wir natürlich nicht.

Ah ja ...
... das war der Zustand mit meiner Minimal-Config, also vor dem "push route".
10.8.0.1 konnte 10.8.0.2 kontaktieren und umgekehrt, sonst nix.

 

[Michi240281]

AW: Glasfaser IPv6 kein VPN usw.

Es gibt noch einen ganz banalen Weg ...

(Sofern wenigstens der dort läuft, wo Dein Tunnelendpunkt ist), denn sein Pi als Tunnelendpunkt weiß ja, wie er den Host mit der IPv4 192.168.255.254 (Also Deinen OpenVPN-Server) erreichen kann.

Ne, der läuft auf meiner DM500HD! :-(

 

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

Da hast Du Dir ja von allen Gurken die allergrößte ausgesucht.

Mit einer DM500HD überhaupt noch rumzufrickeln ist ja eine Zumutung, aber da auch noch den OpenVPN-Server draufzupacken ist eigentlich keiner weiteren Diskussion würdig.
Leg den OpenVPN-Server halt auf den Pi und gut ist's.

 

[Michi240281]

AW: Glasfaser IPv6 kein VPN usw.

Da hast Du Dir ja von allen Gurken die allergrößte ausgesucht.

Wieso? Die war damals (vor 5 Jahren das beste was man kaufen konnte..........). Was wäre denn heute so zu empfehlen? Kumpel hat übrigens einen Xtrend 4000 oder so.

Leg den OpenVPN-Server halt auf den Pi und gut ist's.

Ja das hatten wir ja auch vor. Müssen dann halt mal schauen, wie wir das mit den IP Adressen und Routen machen, damit am Ende wirklich genau das gewünschte funktioniert, und zwar ausschließlich eine Verbindung der Boxen von 192.168.178.175 bei ihm zu 192.168.188.33 bei mir. Wird schon irgendwie hinhauen. Heute abend testen wir wieder etwas! Werden es dann auch nochmal mit Zertifikaten probieren, da der Kumpel meint, dass das "push route" ein "pull route" oder so beim Clienten erfordert und das ganze geht wohl nur mit TLS........

Ich danke dir auf jeden Fall sehr für deine Geduld!!!!!!!!!!!

@LOOL1977: Kannste mir die Daten geben, die du bei den SIP-Accounts ind er Fritz eingetragen hast? Dann probiere ich das heute Abend direkt!!!!!!

 

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

Was wäre denn heute so zu empfehlen?

Vu+ Duo², GigaBlue Quad Plus, Xtrend ET 10000, Mut@nt HD2400, Xpeed LX3, ...

und zwar ausschließlich eine Verbindung der Boxen von 192.168.178.175 bei ihm zu 192.168.188.33 bei mir.
...
"push route" ein "pull route"

Du weißt auch nicht, was Du willst ...

 

[Michi240281]

AW: Glasfaser IPv6 kein VPN usw.

Wir haben gestern die OpenVPN Verbindung hinbekommen, auch mit EInschränkungen, also dass nur seine Box meine erreichen kann. Es läuft auch soweit alles, auch vom iPhone! Allerdings haben wir alles mit dem Telekom Anschluss über IPv6 gemacht! Der letzte Schritt wäre ja dann nur noch, von Telekom auf Glasfaser zu wechseln. Myfritz sollte dann ja die neue IPv6 "bekommen" und dann sollte alles laufen! Soweit die Therorie! Haben das also soeben alles durchgeführt aber leider kam die OPENVPN Verbindung nicht mehr zustande. Wir wissen nicht, woran es liegt. Am Server erscheinen im Log "TLS Errors und TLS handshake failed". Am iPhone stellt er die Verbindung auch her, bzw. versucht das und bleibt dann bei "pull settings from server" hängen. Hat jmd vllt ne Idee, woran das liegen könnte? Wir haben wirklich nur von Telekom V6 auf GF V6 gewechselt. Wie gesagt werden die Verbindungen auch initiiert, aber dann bleibts wohl beim letzten Schritt oder so hängen. Wir haben dann nochmal zurück zu Telekom V6 gewechselt und es lief direkt wieder ohne irgendwelche Fehler. Sind momentan echt ratlos!

Jmd ne Idee?

Besten Dank schonmal im vorraus!!!!!

 

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

1. Wiinux-Geräte verhalten sich recht störrisch beim Wechseln der Verbindung.
2. Der SixXS-PoP NetCologne ist derzeit down.

Erstens bedeutet, daß sich die Telekom-IPv6-Adresse und auch die Routen noch eine Weile im Pi und den anderen Geräten halten können, nachdem Du die Verbindung gewechselt hast.
Ein Neustart der angeschlossenen Geräte kann die Zeit verkürzen, ansonsten kann man nur versuchen, die Routen auf den Geräten mit Linux-Befehlen rauszukratzen:

ip -6 addr del 2001:db8:affe:0:21d:ecff:fe03:1234/64 dev eth0

wobei "2001:db8:affe:0:21d:ecff:fe03:1234/64" durch die tatsächlich bei Dir angezeigte Telekom-IPv6 zu ersetzen ist.
Sie neigen aber dazu, grundlos wiederzukommen.

Zweitens ist derzeit der PoP NetCologne down, d.h. alle SixXS-Tunnel, die NetCologne als PoP nutzen, sind es auch.
Damit kann derzeit der Tunnel von Deinem Bekannten zu Dir über seine SixXS-Anbindung ebenfalls nicht laufen.

Keine Angst, das kommt nicht häufig vor, ich erlebe es gerade das erste Mal.


Außerdem gäbe es natürlich noch andere Dinge zu prüfen:
1. Hast Du die Fritz!Box genau so angeschlossen, wie im HowTo beschrieben?
2. Neueste Firmware drauf?
3. Hast Du auch wirklich einen IPv6-Zugang von Glasfaser Deutschland? Ple z.B. hat keinen ...
4. Wenn 3. mit ja beantwortet wurde: Wurden die MyFritz!-Hostnames beim Anschlußwechsel tatsächlich aktualisiert?

Mein Tip:
Gönn Dir mal 'ne Pause.
Wenn es wirklich über IPv6 funktioniert hat, Dein Glasfaser-Anschluß auch eine IPv6-Adresse an die Fritte vergibt und Du die Fritz!Box richtig angeschlossen hast, also direkt am Media Converter als Router, dann funktioniert das auch.

Momentan scheint es aber etwas im Gebälk des Internets zu knirschen, ich habe zwar meine eigene IPv6-Tunnelanbindung trotz des Ausfalls von NetCologne als PoP provisorisch durch einen noch vorhandenen Hurricane Electric 6in4-Tunnel wiederherstellen können, aber es gibt IPv6-Server, die ich trotzdem momentan nicht erreichen kann.
Facebook und Google sind über IPv6 erreichbar, auch mein Glasfaser-Share, aber z.B. diverse IRC-Server nicht.

 

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

Die Tunnel laufen wieder ...

 

[Michi240281]

AW: Glasfaser IPv6 kein VPN usw.

1. Wiinux-Geräte verhalten sich recht störrisch beim Wechseln der Verbindung.
2. Der SixXS-PoP NetCologne ist derzeit down.

Erstens bedeutet, daß sich die Telekom-IPv6-Adresse und auch die Routen noch eine Weile im Pi und den anderen Geräten halten können, nachdem Du die Verbindung gewechselt hast.
Ein Neustart der angeschlossenen Geräte kann die Zeit verkürzen, ansonsten kann man nur versuchen, die Routen auf den Geräten mit Linux-Befehlen rauszukratzen:

ip -6 addr del 2001:db8:affe:0:21d:ecff:fe03:1234/64 dev eth0

wobei "2001:db8:affe:0:21d:ecff:fe03:1234/64" durch die tatsächlich bei Dir angezeigte Telekom-IPv6 zu ersetzen ist.
Sie neigen aber dazu, grundlos wiederzukommen.

Ich habe den Pi immer rebootet, weil tatsächlich noch die alte Telekom-V6-Adresse drin war. Nach dem reboot war aber die Glasfaser-V6 drin.

Zweitens ist derzeit der PoP NetCologne down, d.h. alle SixXS-Tunnel, die NetCologne als PoP nutzen, sind es auch.
Damit kann derzeit der Tunnel von Deinem Bekannten zu Dir über seine SixXS-Anbindung ebenfalls nicht laufen.

Keine Angst, das kommt nicht häufig vor, ich erlebe es gerade das erste Mal.

Den Sixxs-Tunnel hat der Kollege garnicht aktiv, da er von seinem V4 Anschluss zu dem feste-ip portmapper verbindet und der leitet weiter auf meine V6 vom Pi. Myfritz-Freigaben für den Pi sind natürlich konfiguriert.

Außerdem gäbe es natürlich noch andere Dinge zu prüfen:
1. Hast Du die Fritz!Box genau so angeschlossen, wie im HowTo beschrieben?

Habe alles so angeschlosen und konfiguriert wie im HowTo beschrieben. Das einzige, was nicht möglich war, war bei den IPv6 Einstellungen bei DHCP "fritz.box" als DHCP Server einzutragen (da kam immer eine Fehlermeldung). Könnte das problematisch sein?

2. Neueste Firmware drauf?

Habe OS6.03 drauf. Wollte erstmal nicht upgraden, da viele schrieben mit 6.04 gäbe es Geschwindigkeitsprobleme. Oder soll ich die neuste Labor nehmen?

3. Hast Du auch wirklich einen IPv6-Zugang von Glasfaser Deutschland? Ple z.B. hat keinen ...

Ja, den habe ich. Der einzige Unterschied, der mir zum Telekom V6 Anschluss aufgefallen ist: Beim Telekom Anschluss stehen noch mehrere genutze DNS-Server im Online-Monitor; bei Glasfaser steht da nix von DNS-Servern.

4. Wenn 3. mit ja beantwortet wurde: Wurden die MyFritz!-Hostnames beim Anschlußwechsel tatsächlich aktualisiert?

Wie könnte man das kontrollieren? Meine Myfritz Adresse hat sich nicht geändert. Aber der Kumpel kann diese Adresse anpingen. Und die VPN Verbindung wird ja auch initiiert, jedoch bleibt es bei TLS Error stehen. Am iPhone bleibt es bei "Pull Settings from Server stehen".

Wir vermuten aktuell, dass die DGF oder NEW Ports blocken könnte. Wäre bei dem Upload ja nicht abwegig, wenn die unterbinden wollen, dass sich jeder nen Web-Server zu Hause hinstellt. Wäre gut, wenn jmd bestätigen könnte, dass dem nicht so ist, also dass er/sie das Heimnetz über die gängigen Ports (80, 433, 1194) erreichen kann.

 

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

Den Sixxs-Tunnel hat der Kollege garnicht aktiv, da er von seinem V4 Anschluss zu dem feste-ip portmapper verbindet und der leitet weiter auf meine V6 vom Pi.

Und diese Verbindung hat vorher auch wirklich geklappt?

Und Ihr habt mal mit
netstat -np
auf Deinem Pi überprüft, ob es auf Deiner Seite wirklich eine IPv6-Verbindung war?

netstat -np spuckt Ausgaben in dieser Form aus:
tcp 0 0 fd00:1234:d015:affe:21d:ecff:fe78:1234:22 fd00:1234:d015:affe:96de:80ff:fe6c:c667:2345:3741 ESTABLISHED 9233/dropbear

Wenn man mal ignoriert, daß netstat auf Linux semantisch falsche Adressen ausspuckt, kann man trotzdem erkennen, daß es sich um IPv6-Adressen handelt und auch welcher Port genutzt wird:
fd00:1234:d015:affe:21d:ecff:fe78:1234:22 lautet korrekt geschrieben [fd00:1234:d015:affe:21d:ecff:fe78:1234]:22
es besteht also eine Verbindung per IPv6 zu dem Port 22 (ssh) dieser Maschine (Liegt auch nahe, wenn der Daemon dropbear ist ...).

Es muß auf Deinem Pi eine eben solche Verbindung zu dem Port geben, den Dein OpenVPN-Server benutzt.
Konkret:
Zu Deiner öffentlichen IPv6 (2a...) von (einer) der öffentlichen IPv6(s) von feste-ip.net

Habe OS6.03 drauf. Wollte erstmal nicht upgraden, da viele schrieben mit 6.04 gäbe es Geschwindigkeitsprobleme.

Zu jeder neuen Fritz!OS-Version schreiben erst einmal viele Leute viel .... Mist.

Oder soll ich die neuste Labor nehmen?

Wäre eine Option.
Bei älteren FW hatten wir auch mit unerklärlichen Verbindungsabbrüchen zu kämpfen (Also nicht solche, die als Verlust der Internetverbindung zu erkennen waren, sondern solche, bei denen zwei oscams auf einmal nicht mehr miteinander kommuniziert haben).

Es kann auch sinnvoll sein, die MTU für IPv6 anzupassen.

Führe dazu auf dem Pi aus (Eine Zeile):

i=1360; while ping6 -s $i -M do -nc1 ipv6.google.com >/dev/null; do i=$((i+1)); done; echo $((i-1+8))

Nach ein paar Sekunden erhältst Du einen Zahlenwert als Rückmeldung, diesen trägst Du dann in der Fritz!Box unter Zugangsdaten -> IPv6 als MTU ein.
Wundere Dich nicht, wenn der sehr niedrig (z.B. 1284) ausfällt.

Ja, den habe ich. Der einzige Unterschied, der mir zum Telekom V6 Anschluss aufgefallen ist: Beim Telekom Anschluss stehen noch mehrere genutze DNS-Server im Online-Monitor; bei Glasfaser steht da nix von DNS-Servern.

Die DNS-Server schreibe ich der Fritz!Box immer vor und verwende nie die vom Provider.

In der Fritz!Box unter "Internet -> Zugangsdaten -> "DNS-Server" eintragen:
(*) Andere DNSv4-Server verwenden
8.8.8.8
und
8.8.4.4
(*) Andere DNSv6-Server verwenden
2001:4860:4860::8888
und
2001:4860:4860::8844

Das sind die "Google Public DNS Server".

Wie könnte man das kontrollieren?

nslookup <Adresse>
also z.B.
nslookup himbeere.chickenkiller.com
bzw.
nslookup himbeere.dbgikdfbifgnbif.myfritz.net

Alternativ zu "nslookup" kann auch "host" verwendet werden, bzw. muß es je nach Distro auch.
Mein Pi hat kein "nslookup" und meine E2-Boxen kein "host", muß ja kompliziert bleiben

Wir vermuten aktuell, dass die DGF oder NEW Ports blocken könnte.

Können kann der Provider immer viel.
Macht er aber meines Wissens nicht.

 

[Michi240281]

AW: Glasfaser IPv6 kein VPN usw.

Es läuft alles!

Haben gestern als erstes mal auf beiden Fritzboxen die aktuellste Laborversion draufgepackt und schon lief es! Hätte man das vorher gewusst! ;-)

 

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

Ok.

Damit hätten wir nun hier im Thread schon zwei User, die den von mir beschriebenen optimalen Aufbau
P1022 -> Fritz!Box als Router
problemlos mit IPv6 am Laufen haben, also inklusive MyFritz!-/IPv6-Freigaben (Ob die jetzt direkt mit IPv6 oder per IPv4 über die Vermittlung durch einen Port-Proxy genutzt werden ist für deren Funktion unerheblich).

Damit kannst Du ja nun Deinen Anschluß als Funktions-Beweis für fl!nk/new zur Verfügung stellen, damit die den durchmessen können ...

 

[Michi240281]

AW: Glasfaser IPv6 kein VPN usw.

Richtig!

PS: Seit heute geht auch Telefon und ich schmeiße den Genexis damit jetzt aus dem Fenster! :-D

 

[Schimmelreiter]

AW: Glasfaser IPv6 kein VPN usw.

Richtig!
Eine Frage habe ich aber noch:
Zu einem anderen Kumpel habe ich die AVM VPN noch aktiviert. Ich habe dann in meiner cfg "always renew" auf yes gesetzt, sodass meine Fritz dann ständig versucht, die Verbindung aufzubauen. Damit wird die Verbindung tatsächlich hergestellt, genau wie du vermutet hast!

Funktioniert auch Transfer über dieses VPN?

Kommt mir aber vor, als wäre das nicht sehr robust! Hab das Gefühl, dass wenn der Kumpel ne neue IP bekommt, wird die Verbindung abgebrochen und meine Fritzbox bekommt auch keine Verbindung mehr hin.

Das ist das von mir beschriebene Problem damit, daß die Verbindung nur einseitig aufgebaut werden kann:
Der Aufbau der Verbindung muß von Deiner Seite aus ausgehen, da die Seite Deines Kumpels Dich nicht eingehend erreichen kann.

Gleichzeitig hat aber auch ausgerechnet seine Seite eine versch... dynamische IP, so daß sich bei einem Verbindungsverlust seinerseits (Du hast ja keine Zwangstrennung ...) auch die IPv4-Adresse seiner Seite ändert.
Das DynDNS-Update dauert bzw. bis sein DynDNS-Host erstmals auf die neue IPv4 aufgelöst werden kann vergehen nun ca. 1-119 Sekunden, in denen ein erneuter Verbindungsaufbau nicht möglich ist.

D.h. wenn Du einfach mal 3-5 Minuten wartest, müßte das VPN auch von selbst wiederkommen ...

Genau wegen einer solchen Sch... sind mir CS-Server mit IPv6 aber ohne die versch.... Zwangstrennung Hundert Mal lieber als CS-Server mit IPv4 und mind. einer Minute Bildausfall pro Tag.

Sie müssen registriert sein, um Links zu sehen.

Ne Idee dazu?

Die lustigen DynDNS-Fehlermeldungen kannst Du ignorieren.
Und die letzte Meldung sagt Dir nur, daß die VPN-Verbindung getrennt wurde ...

Und was mir generell auffällt: Scheinbar wird die Internetverbindung in regelmäßigen Abständen getrennt und neu aufgebaut. Werd das mal beobachten. Als Fehlermeldung kommt dabei im Log:

[TABLE="class: zebra"]
[TR]
[TD]29.08.14[/TD]
[TD="class: date"]08:07:52[/TD]
[TD]

Sie müssen registriert sein, um Links zu sehen.

[/TD]
[/TR]
[TR]
[TD]29.08.14[/TD]
[TD="class: date"]08:07:52[/TD]
[TD]

Sie müssen registriert sein, um Links zu sehen.

[/TD]
[/TR]
[/TABLE]

Das ist keine echte Trennung, sondern nur ein Präfixwechsel ... wenn überhaupt.

Die Gültigkeit eines IPv6-Präfixes wird - wenn es nicht, wie es sich eigentlich gehört, "für immer" zugeteilt wird - regelmäßig überprüft und entweder bestätigt oder nicht.
Wird dabei ein neues Präfix gelernt, wird dieses im LAN als gültig "advertised" und das alte als "deprecated".
"deprecated" heißt aber nicht "ungültig", sondern eben nur soviel wie "nicht mehr empfohlen/zukünftig entfallend".
Bestehende Verbindungen über das alte Präfix bleiben also bestehen, aber neue werden über das neue Präfix aufgebaut.

1. Sofern der Provider die Präfix-Vergabe richtig konfiguriert hat, ist diese Übergangsphase zwischen altem und neuem Präfix mehrere Stunden lang, so daß ein tatsächlicher Abbruch irgendeiner Übertragung unwahrscheinlich ist.
2. Da das neue Präfix dann bereits länger bekannt ist und DynDNS-Hosts wie myfritz die neue IPv6 längst aktiv haben, ist in diesem Fall ein sofortiger Wiederaufbau einer Verbindung zu Dir tatsächlich möglich, da sollte nicht einmal einen Freezer beim CS geben.
3. Die Fritz!Box hat eine Macke und zeigt o.g. Meldung teilweise auch dann an, wenn sich das Präfix gar nicht geändert hat, sondern bestätigt wurde.