Hallo zusammen,
ich hab hier schon einiges gelesen, komme aber aktuell nicht wirklich bei meinem Problem weiter.
Mal kurz zu meinem Vorhaben. Ich bin umgezogen und habe jetzt einen Inexio IPv6 Anschluss mit CGN. Also muss erstmal alles über IPv6 laufen. Jetzt hatte ich mir überlegt, dass ich auf meinem Oracle free tier Server einen Nginx reverse Proxy installieren kann, den Server dann per Wireguard mit meinem Server zuhause verbinden und dann alle IPv4 Anfragen darüber zu mir nach Hause bekomme.
So weit die Theorie, aber ich scheitere schon an dem ersten kleinen Kieselsteinchen.
Ich hab zum Testen mal einen Raspberry aufgesetzt. Im gesamten Netzwerk ist im übrigen aktuell nicht anderes drin, Server steht noch in der alten Wohnung. Für diesen Raspberry Pi 4 habe ich eine Portfreigabe eingerichtet und den PING6 für diesen freigegeben. Bei IPv64.net habe ich einen AAAA Eintrag mit dessen IPv6 angelegt, der über ein Updaterscript (danke @uli2000ger ) bei einem IP-wechsel auch fleißig die neue IP aktualisiert.
Soweit ist alles cool. Von meinem Netzwerk intern getestet, alles Top
ping6 vollpn.endesso.ipv64.net
PING vollpn.endesso.ipv64.net (2a02:6d40:30a2:bb01:c6fe:e55a:d034:2c12) 56 data bytes
64 bytes from pi4vpn.fritz.box (2a02:6d40:30a2:bb01:c6fe:e55a:d034:2c12): icmp_seq=1 ttl=64 time=56.8 ms
Und jetzt von außerhalb:
ping6 vollpn.endesso.ipv64.net
PING vollpn.endesso.ipv64.net(2a02:6d40:30a2:bb01:c6fe:e55a:d034:2c12 (2a02:6d40:30a2:bb01:c6fe:e55a:d034:2c12)) 56 data bytes
From 2a02:6d40:30a2:bb00::1 (2a02:6d40:30a2:bb00::1): icmp_seq=1 Destination unreachable: Administratively prohibited
Also was soll das denn… kurz mal getestet, ob das von Provider kommt oder ob das die Fritzbox ist und mal geschaut ob ich die Fritzbox direkt anpingen kann:
ping6 fritze.endesso.ipv64.net
PING fritze.endesso.ipv64.net(2a02:6d40:30a2:bb00::1 (2a02:6d40:30a2:bb00::1)) 56 data bytes
64 bytes from 2a02:6d40:30a2:bb00::1 (2a02:6d40:30a2:bb00::1): icmp_seq=1 ttl=55 time=283 ms
also das geht auch von außerhalb und die IP ist die, von der ich vorher das „Administratively prohibited“ bekomme.
Jetzt weiß ich nicht mehr weiter. habe alle Einstellungen durchsucht aber nichts weiter gefunden. Im Netz heißt es, dass man ping6 freigeben muss, wenn man das machen will, aber das habe ich ja getan. Hat jemand von euch noch eine Ahnung, was ich hier falsch mache?
Wie ist denn deine Fritte unter Heimnetz - Netzwerk - Netzwerkeinstellungen und dort dann IPv6-EInstellungen konfiguriert?
Einfluss haben dürfte der Bereich DHCPv6-Server in der FRITZ!Box für das Heimnetz aktivieren:
Ist auf dem Pi eventuell ufw aktiv und unterbindet Antworten auf einen PING (ICMP)?
Zudem sottest du auf DNS-Server, Präfix (IA_PD) und IPv6-Adresse (IA_NA) zuweisen wechseln.
Ich habe zwar keine OPNsense sondern eine pfsense und die läuft auch nicht hinter einer Fritte sondern direkt am Moden, aber ich hatte die pfsense für so ungefähr 10 Tage während der Installation hinter einer Fritte. Und das hatte ich gemäß o.g. Anleitung aus dem OPNsense Manual gemacht und dabei auf der Fritte eben auch IA_NA aktiv.
Mich würde mal interessieren, warum du, wenn du ohnehin eine sense einsetzen willst, die Fritte davor belassen willst? Warum die sense nicht direkt am Modem, so wie ich da mache?
Zudem bist du sicher dass du CGNAT hast, nicht DS-Lite?
Bei CGNAT hättest du eine IPv4-Adresse zwischen 100.64.0.0 und 100.127.255.255.
In DE ist ja eher DS-Lite als CGNAT verbreitet, ich weiß aber auch nicht genau was ein Inexio IPv6 Anschluss so bietet
PS: was ist mit ufw auf dem Pi? Wenn aktiv zum Testen einfach mal deaktivieren.
Sorry hatte vergesse zu schreiben, da der befehl sudo ufw status nicht bekannt ist, gehe ich mal davon aus, das keine ufw Installation auf dem Pi ist. Oder sollte ich da was anderes testen?
Hab jetzt umgestellt auf IA_PD & IA_NA und jetzt geht es … also braucht man für die Fritzbox für die Freigabe also doch komplett DHCPv6. Vielen Dank für den Tip, da wäre ich nie drauf gekommen.
Aktuell fühle ich mich noch nicht so ganz firm in der OPNsense, dass ich da auch wirklich alles richtig konfiguriere. Bin mir auch gerade nicht ganz sicher, welche Vorteile es mir bringen würde. Die Fritzbox brauche ich ja sowieso als Modem und für die Telefonie.
Ja, du hast CGNAT. Der Adressbereich 100.64.0.0 bis 100.127.255.255 ist für CGNAT reserviert, wird also nur an CGNAT-Anschlüssen vergeben.
Ob es Vorteile hat gegenüber DS-Lite vermag ich nicht zu beurteilen.
Es gibt aber Unterschiede in der Konfiguration die zu beachten sind, besonders wenn man direkt am Modem eine pf- oder OPNsense betreiben will.
Hast du ganz profanes DSL? War von Glasfaser ausgegangen.
Ja, denn ohne Adressen vergebenden DHCPv6-Server hast du ja nur SLAAC. Bei SLAAC geben sich die Clients aber selbst eine IPv6-Adresse und beziehen die eben nicht vom IPv6-Server der Fritte.
Bei der sense wirst du noch einiges mit v6 zu tun bekommen. Da gehört das Thema zu den Router Advisements und dann natürlich (optional) zum KEA- oder ISC-DHCPv6Server.
Ja, es ist ganz gewöhnliches DSL, Glasfaser bis zum Telekom Verteiler und die letzten 100m sind wieder Kupfer. Könnte auch zu deutsche Glasfaser wechseln, aber die sind nochmal teurer, die brauchen aktuell noch ewig bis der Ausbau hier in er Region weiter geht(sollte schon seit 3 Jahren fertig sein) und bei Inexio hätte ich für 2€ im Monat noch die Chance eine öffentliche IPv4 zu bekommen, falls ich das mit meinem selbstgebastelten IPv4 zu IPv6 Umsetzer nicht hin bekomme. Bin zwar motivierter Linux Server Bastler, aber manche Dinge gehen dann doch nicht so, wie ich mir das denke.
Das Thema Router Advertisment hatte ich schon an dem Telekom Anschluss ganz gut hin bekommen, da hatte ich auch die Fritzbox so konfiguriert, wir du es geschrieben hast… Hab irgendwie vergessen, dass das für die OPNsense die richtige Einstellung ist …
