Cloudflare Tunnel mit IPv64 nachbauen?

Daniel-San · November 14, 2025, 7:40pm

Hallo in die Runde,

ich habe mir die Frage gestellt, ob man einen Cloudflare Tunnel mit IPv64 Services nachbauen kann.

Der Server zu Hause baut aktiv per Wireguard zum IPv64 Cloud Router die Wireguard VPN Verbindung auf.

Der CDN und Reverse Proxy Service von IPv64 stellen die Public IP‘s und die Erreichbarkeit zum Server im LAN über die Wireguard Route ins LAN sicher.

Keine Portforwarding, keine Portmapper Konfiguration notwendig.

Hat da jemand zufälligerweise IPv64 Erfahrung damit?

Viele Grüße

Daniel

Nevs · November 15, 2025, 12:48am

Hi Daniel,

ja, hatte ich schon im Einsatz und funktioniert.

Voraussetzung, du hast schon ein Cloudrouter mit aktiven Wireguard VPN zu deinem Heimnetz und der Cloudrouter kennt dein Heimetz (als Beispiel 192.168.178.0/24).

Dann hinterlegst du unter DynDNS auf IPv64 den A und AAAA Record des Cloud Router.
Unter dem Cloud Router erstellt du ein Portmapping zu deiner lokalen Server-IP:443.
Den externen High-Port hinterlegst du dann im Reverse Proxy des CDN im Backend.

Viele Grüße
Nevs

Daniel-San · November 18, 2025, 8:51pm

Danke für die Zusammenfassung.

Ich habe das einmal ausprobiert. Leider mit wenig Erfolg.

Folgende Fragen stellen sich mir direkt beim Setup:

Funktioniert das nur für die erstellte DynDNS Domain „test.de“ oder auch für dort angelegte DNS Records wie „test.test.de“?

Die CDN Reverse Proxy Port Anpassung für das Backend wird im CDN Menü nur für die erstellte DynDNS Domain angeboten. Nicht für die erstellen DNS Einträge darunter. Das verwirrt mich ein bisschen.

Mein Setup zum Test:

Eine Ubuntu VM mit einem Docker Webservice auf Port 9443 - Self-Signet SSL Zertifikat.
WireGuard direkt in dieser VM installiert - Allowed IP‘s auf das IPv4 und IPv6 Netz des IPv64 VPN Services und die /32 lokale IPv4 der VM in der Konfiguration gesetzt
Zentrales Routing ist für die lokale /32 IPv4 der VM über die WireGuard IPv4 der VM im IPv64 Cloud Router aktiviert
Sämtliche Default Routen (0.0.0.0/0, ::/0) sind im Cloud Router und WireGuard VPN Gateway deaktiviert
Die DNS Einträge für die DynDNS Domain „test.de“ zeigen derzeit direkt auf die IPv4 und IPv6 des Cloud Routers - es sind keine weiteren DNS Records angelegt
Das Portmapping im Cloud Router wurde mit Ziel auf die /32 lokale IPv4 der VM mit TCP 9443 erstellt
Proxy Service ist im CDN Menü für meine DynDNS Domain „test.de“ aktiviert worden
Der High Port des Cloud Router Portmappings ist als Backend Einstellung für den Reverse Proxy im CDN Menü für meine DynDNS Domain gesetzt worden

Bei einem Test bekomme ich die 50x Default IPv64 Fehlerseite ausgegeben.

Mache ich etwas falsch oder habe ich etwas vergessen?

Viele Grüße

Daniel

Daniel-San · November 18, 2025, 10:24pm

Mit weiteren Tests kann ich mir die Fragen selbst beantworten:

Im Cloud Router müssen die Default Routen (0.0.0.0/0, ::/0) aktiviert bleiben. Sonst wird der Traffic von den CDN Proxies nicht geroutet. Ist im Nachhinein betrachtet ganz logisch…
Im Cloud Router muss eine neue Route mit der /32 Ziel-IP der VM mit der WireGuard VPN IP des Peers angelegt sein
Der Portmapper Service im Cloud Router muss auf die Ziel-IP im Heimnetz zeigen - die IPv4 und IPv6 IP‘s die der Peer über den VPN Service erhält, können für das Portmapping nicht verwendet werden
Die Portanpassung für das CDN Backend im Reverse Proxy Menü des CDN‘s greift auch für DNS Records der Subdomains in der eigenen DynDNS Domain
Die AllowedIP Sektion in der WireGuard Peer Konfiguration können auf die IPv4 und IPv6 Netze des IPv64 VPN Services gehärtet werden.