IPv4 zu IPv6 umstellung - Dyndns - Zoraxy - Rustdesk

Hallo zusammen,

ich habe da eine Verständnissfrage, denke ich:
habe bisher in meinem Netz IPv4 verwendet. Nun wollte ich (auch zum Selbststudium) IPv6 bei mir einsetzen. Soweit ist es auch jetzt im Einsatz, Firewall und Clients gehen jetzt per IPv6 ins Internet.
Nun habe ich Rustdesk hinter Zoraxy am Laufen. Zoraxy leitet auch IPv4 schön an des Rustdesk weiter.
Aber mit IPv6 mache ich ja keine Weiterleitung. Dazu müsste ich die Rustdesk v6 Adresse im dyndns melden. Mit der aktuellen im Dyndns (von der Firewall) funktioniert es ja nicht.
Wie kann ich denn meinen Rustdesk per IPv& erreichbar aus dem Internet?
Ich mach in der Firewall die Ports zu meinem Rustdesk auf. Die IPv6 ändert sich jedoch…
Ist dann nicht mehr die gleiche globale. Auch auf den Zoraxy leite ich die v6 nicht weiter (oder?).

Stehe da auf dem Schlauch, hab ich das so richtig „geplant“ oder bin ich irgendwie ganz falsch?

Danke im voraus für Eure Hilfe.
Tom

Konkretere Infos müsstest du schon liefern.

  • die Firewall … die Clients … Welche (z.B. Betriebssystem)???
  • gehen jetzt per IPv6 ins Internet … Aber wie? SLAAC DHCPv6?
  • nutzt du IPv6-Prefix-Delegation?

So ist das alles nur stochern im Nebel

  • die Firewall … die Clients … Welche (z.B. Betriebssystem)???
    Dachte das ist für meine Frage nicht wichtig, aber Firewall ist die OPNSense, Clients sind Windows und Linux, und wie geschrieben, die gehen bereits über IPv6 ins Internet
  • gehen jetzt per IPv6 ins Internet … Aber wie? SLAAC DHCPv6?
    Mit SLAAC
  • nutzt du IPv6-Prefix-Delegation?
    Ja, der Provider weisst mir /56 zu

Hallo @tomlide,

doch denke ich schon, sonst hätte ich nicht danach gefragt. Als erstes empfehle ich dir (falls du es nicht bereits kennst IPv6 for generic DSL dialup aus der OPNsense Documentation.

Dann empfehle ich dir SLAAC in den LAN-Segmenten deiner sense zu nutzen, in denen keine Server sind, die du per IPv6 aus dem Internet erreichbar machen willst. Die Server hingegen kommen in eine anderes Segment (VLAN oder mit eigenen Netzwerkschnittstelle) und sollten per DHCPv6-Server mit IPv6-Adressen versorgt werden.

Gut. In der oben von mir verlinkten OPNsense Documentation wird dieser Prefix genutzt um den einzelnen LAN-Segmenten der sense /64-Prefixe zuzuweisen.

Nicht ganz richtig. Eine Weiterleitung im Sinne von Firewall-Rules benötigt es schon noch, nur kein NAT, wie bei IPv4. Server, wie meine Nextcloud, bekommen von meiner pfsense auf Basis des /64-Prefix eine /128-IPv6-Adresse. Jetzt gubt es zwei Optionen:

  • jeder Server updatet seine eigene IPv6-Adresse beim DynDNS-Anbieter
  • die Firewall oder der Router updaten stattdessen den /64-Prefix des LAN-Segments in dem sich die Server befinden

Ich nutze die zweite Methode mit meiner pfsense. Auch FritzBoxen können das. Leider weiß ich nicht ob das auch mit einer OPNsense machbar ist. Generell ist der /64-Prefix ja für alle DHCPv6-Clients gleich. Daher reicht es nur diesen zu aktualisieren und bei ipv6.net für jeden Client einen AAAA-Record im Format: „Interface-ID“ (ex. ::6743:12::f9aa::44a1) oder „EUI-64 MAC“ (ex. 3C:49:37:12:26:B3) zu erstellen.

Danke für Deine Antwort.
ich lasse das Update der IPv6 den Server erledigen. Das macht der auch. und von aussen kann ich den server über IPv6 anpingen.
Wenn ich die WAN Regel (in der ich ICMPv6 und den Port für Rustdesk öffne) in der OPNSense deaktiviere, dann geht auch der Ping nicht mehr…

Ich hab auch einen rustdesk hinter dem zoraxy laufen.

Ipv64 bekommt den v6 prefix von meinem zoraxy. Auf dem läuft ein cronjob der den prefix updated wenn er sich geändert hat. Den anderen Teil der v6 adresse vom zoraxy habe ich manuell in ipv64 eingetragen.

In der Firewall (unifi) hab ich die Ports für rustdesk auf den zoraxy weitergeleitet. Und in diesem habe ich einen Stream Proxy eingerichtet, der die Ports an den rustdesk server weiterleitet.

Ziel ist ja die interne IP des rustdesk nicht zu exposen.

Danke Daimonion, genauso will ichs auch haben… kannst es genauer beschreiben?

Kommt drauf an, was du wissen musst.

Im ersten Schritt ist es, denke ich, mal wichtig die v6 des zoraxy oder den Prefix davon an ipv64 zu melden.

Bei mir macht das ein Skript, welches ich in einem anderen Forum gepostet hatte:

Das Skript läuft in einem Cronjob und cached die Adressen auch.

Der Prefix wird dann in v64 mit dem Rest der IP zusammengebaut. Sicherlich kann man hier auch der Einfachheit halber die komplette v6 Adresse nehmen. Bei mir hat sich das halt so entwickelt…

Im zweiten Schritt musst du in deiner Firewall (keine Ahnung was du hast) mindestens mal den Port 443 für die die v6 des Zoraxy freigeben.

Hey, vielen Dank schon mal, soweit hab ichs… aber wie Konfiguriere ich das Streaming im Zoraxy?
Die IPv4 hab ich ja „ganz normal“ als rev Proxy zum Rustdesk geleitet.

Da gibt’s evtl. gerade och ein Problem im zoraxy was geklärt werden müsste.
Siehe hier: zoraxy does not open udp port from stream proxy rule · tobychui/zoraxy · Discussion #659 · GitHub

Ich hab mir aktuell einfach geholfen das ich verbotenerweise den 21116 manuell direkt auf den rustdesk durchleite. Quasi vorbei am zoraxy.

Hoffe das das bald gelöst wird.

Hi nochmal, kannst Du Deine Regel für den Streaming Proxy für ipv4 zeigen?
Meine Funktionieren nicht. also egal ob ichs mit 127.0.0.1 oder ohne versuche.
Sobald ich den Verkehr von der Firewall direkt auf den Rustdesk leite, gehts sofort von extern.
Aber wenn ichs von der firewall auf den Zoraxy mache, komm ich nicht durch

Aktualisiere mal den Zoraxy auf die aktuellste Version. Da wurde das UDP Forwarding gefixt. Mit dem klappts bei mir nun auch durch die Vordertür.