IPv6 - Wireguard Server hinter Fritzbox

Hallo zusammen,

folgendes Setup befindet sich gerade im Aufbau:

Wireguard Server hinter einer Fritzbox mit CG-NAT.
Im IPv64 CDN habe ich bereits eine Domain angelegt, DynDNS auf der Fritzbox eingerichtet und das Portmapping konfiguriert. IPv4 habe ich rausgeworfen, sodass das CDN nur die v6 Adresse der Fritzbox kennt.

Auf der Fritzbox ist der gewünschte Port ebenfalls freigegeben und an den Wireguard Server weitergeleitet.

Trotzdem kann ich über die DynDNS Adresse keinen Tunnel aufbauen.
Der Tunnel lässt aber über die von der Fritzbox ausgegebenen IPv6 Adresse aufbauen.

image1414×984 91.1 KB

Wo habe ich etwas übersehen?

Jedenfalls nicht in der Fritte. Zwecks Erreichbarkeit des Wireguard-Servers via IPv6 brauchst du doch gar kein CDN. Stattdessen eine Subdomain (Präfix bei ipv64 genannt) wie z.B. Wireguard.DeineDomain.ipv64.net, die auf die IPv6-Adresse deines Wireguard-Servers verweist.

Damit hast du vollkommen Recht.
CDN brauche ich, für eine Erreichbarkeit via IPv4.
Grundsätzlich habe ich auch ein paar Denkfehler in meinem Konzept, die mir heute Morgen wie „Schuppen von den Augen gefallen sind“.
Ich baue um und poste die Konfiguration hier, für den Fall, dass sich mal jemand ähnlich verrennt.

Da du ja bereits selbst einen gewissen (Denk-)Fehler eingeräumt hast, der vor der Tastatur sitzt interessiert mich mal, warum du überhaupt einen Wireguard Server HINTER der Fritte haben willst. Die 6660 Cable ist doch selbst dazu fähig als Wireguard Server zu dienen, was die Konfiguration deutlich vereinfachen würde.

Hallo,
ich habe leider ein ähnliches Problem.
Hinter meiner Fritz Box 7590 habe ich ein TrueNas Scale Server.
Sobald ich CDN einschalte funktioniert die Wireguard Verbindung
über WG-Easy nicht mehr. Was muss ich ändern?
p.s. Eine neue Wireguard Verbindung zur Fritz Box funktioniert,
hilft aber anscheinend nicht bei WG-Easy.
Ich hätte gern CDN genutzt wg. des Zerifikats.

Hallo The_eagle,
kann ich evtl. deinen Vorschlag bei meinen Problem anwenden.
Also ich auf WG-Easy Verbindung verzichten kann?

wenn ja, kannst du mir vielleicht dabei helfen?
Danke

Also ich kenne WG-Easy nicht. Habs eben gegoogelt. Ist so’n Docker-Gedöns.

Wenn diese bereits von dir eingerichtet wurde und sogar funktioniert, wozu dann die zweite Wireguard Verbindung via WG-Easy? Aus deinen bisherigen Ausführungen erschließt sich mir nicht wozu du die dann noch brauchen solltest und wobei du noch Hilfe haben willst, denn die neue Wireguard Verbindung zur Fritz Box funktioniert doch bereits.

Werde weiter suchen müssen.
Die Wireguard Verbindung der Fritz Box bezog sich auf mein Fritz Konto.
Wer lesen kann ist eben klar in Vorteil.

„Wer lesen kann ist eben klar in Vorteil.“ war auf mich und nicht auf dich bezogen. sorry, wenn du das falsch aufgenommen hast.

Hab inzwischen die Wireguard Verbindung direkt zum Truenas-Server,
per WG-Easy.
Nun hoffe ich den DynDNS Updater mittels Cron job erledigen zu können.
https://ipv6.ipv64.net/nic/update?key=domain update url&domain=domain.ip64.de&ipv6prefix=auto

Also die IP-Adresse der Fritz Box wird geupdatet, der Prefix mit dazuhöriger Subdomäne auch. Aber sobald ich CDN bei der Subdomäne einschalte ist sie nicht mehr über Wireguard (WG-Easy) erreichbar. Alternativ habe ich es mit NGINX versucht. Doch da bekomme ich auch bei der Erstellung des SSL-Zertifikats eine Fehlermeldung.
Mir sind die Ideen ausgegangen. Was soll ich machen?

Ich glaub dein Problem versteht niemand, denn du lieferst keine klaren und eindeutigen Infos was wohin soll. Mir z.B. fallen spontan gleich mehrere Dinge ein, die du potentiell falsch machen könntest.

• die Ipv6-Adresse der Fritte ist eine andere als die des WG-Easys Servers. Nur eine von beiden lässt sich aber per CDN und Portmapper erreichbar machen, jedenfalls für nichtzahlende Kunden.
• Portmapper bedeutet: der Port ändert sich. Folglich muss die Config des Clients angepasst werden.
• CDN-Reverse Proxy ist nur für Port 80 und 443 zu gebrauchen. Also nicht für Wireguard.
• Wireguard verwendet UDP nicht TCP.

Aber das ist nur das was mir spontan einfällt, denn meine Glaskugel ist immer noch kaputt.

Danke für deine Ratschläge.
Jetzt versteh ich zumindest warum Wireguard nicht mit CDN-Reverse Proxy funktioniert.
Ich bin leider nur ein Laie auf den Gebiet.
Hab die Idee auf einen Truenas Server, welcher bei mir zu Hause per Lan an der Fritte hängt
2 Apps (1x Jellyfin, 1x Nextcloud) für 5 Personen verfügbar zu machen.
Ich habe hier Glasfaser, nur IP6, welche sich alle 24 Std. ändert.
Mit der Installation von Jellyfin bin ich klar gekommen.
Mit der Installation von Nextcloud nicht.
Der Zugriff sollte dann per Wireguard → WG-Easy, welches auf den Truenas Server installiert ist, erfolgen.
Ich habe also verschiedene Baustellen.

1. die Aktualisierung des Prefix.
   wenn ich den Befehl:
   https://ipv6.ipv64.net/nic/update?key= Domain Update-URL&domain=abc-xyz.srv64.de&ipv6prefix=auto
   im Browser ausführe, funktioniert es. Doch als Cron Job passiert gar nichts.
   Was muss ich da ändern?

2. Die Installation von Nextcloud.
   Geht da überhaupt per Wireguard oder muss ich dazu NGINX oder CDN-Reverse Proxy nutzen?

Ich habe versucht NGINX einzurichten. Habe zum Test Jellyfin eingetragen mit den Ergebnis:

geht also nicht. Da mache ich wohl auch etwas falsch. ?

Zur Not habe ich schon überlegt mir Hilfe von Profis zu holen.
Aber wo bekommt man die bezahlbar her?

Diplomatie ist nicht so meins. ich bin lieber offen und direkt. A L S O:
Ich habe den Eindruck du machst so einiges nicht richtig. So über den Daumen gepeilt hast du ein halbes Dutzend Fehler im System.

aha

soso

Wenn ich dein Vorgehen richtig interpretiere soll der Cron Job auf dem Truenas Server den IPv6-Präfix aktualisieren. Der Browser wird aber wohl eher nicht auf dem Truenas Server verwendet werden, sondern auf irgendeinem anderen PC im Netz, mit wahrscheinlich anderem Betriebssystem.

Sollte dem so sein liegen da schon wieder mehrere Denkfehler vor. Der Truenas Server braucht kein IPv6-Präfix aktualisieren. Wenn dann gleich die komplette IPv6-Adresse. Aber - jetzt droht gleich der nächste Denkfehler. Hat der Truenas Server überhaupt eine richtige IPv6-Adresse oder nur eine fe80?

Das ideale Gerät um den IPv6-Präfix zu aktualisieren ist deine FritzBox. Wie das geht steht in den Hilfeseiten bei ipv64.net

Noch ein Denkfehler. Du brauchst nichts von alledem. Jedenfalls dann nicht, wenn dein Truenas Server eine richtige IPv6-Adresse hat. Nextcloud funktioniert sehr gut auch ausschließlich mit IPv6. Meine Nextcloud ist direkt aus dem Internet NUR per IPv6 zu erreichen. Die Installation, die Erzeugung und Aktualisierung von Let’s Encrypt-Zertifikaten braucht alles kein IPv4 und daher auch weder Wireguard oder CDN-Reverse Proxy. Allerdings soĺlten Nextcloud und Jellyfin nicht beide Port 80 und 443 beanspruchen, denn du willst ja beide auf einem Truenas Server laufen lassen. Brauchen beide zwingend Port 80 und 443 brauchst du dafür eine Lösung.

Ich persönlich habe auch mehrere Serverdienste auf einem physikalisch vorhandenen Server laufen. Aber: ich nutzen dafür vermutlich einen ganz anderen Lösungsansatz als du. Nämlich VM’s (V-Server) auf Basis von KVM/QEMU. Übertragen auf dein Problem würde bei mir Jellyfin in einer eigenen VM laufen und Nextcloud tut es auch. Jede VM hat (richtig konfiguriert) dann eine eigene private IPv4-Adresse und eine eigene öffentlich erreichbare IPv6-Adresse. Über diese jeweils eigene öffentlich erreichbare IPv6-Adresse ist dann auch jeder Server aus dem Internet erreichbar, auch wenn diese Server identische Ports nutzen, wie 80/443.

Will man die dann auch per IPv4 erreichbar machen kann man z.B. einen nginx-Reverse-Proxy und (nur bei DS-Lite oder CG-NAT) das CDN nutzen. Den braucht es dann aber (wegen NAT) nur für IPv4.

Aus meiner Sicht hat das den für mich entscheidenden Vorteil, dass ich jede der KVM/QEMU-VM optimal für den jeweiligen Server konfigurieren kann und sehe ob alles wie gewünscht funktioniert. Die IPv4-Erreichbarkeit wird dann erst konfiguriert, wenn alles mit IPv6 gut läuft.

Wie wäre es damit, dir für wenige Euro im Monat eine fertig konfigurierte Nextcloud bei einem entsprechenden Provider zu mieten? Wenn du Angst um die Sicherheit/Vertraulichkeit der Daten in der Nextcloud hast, miete eine bei der die Daten verschlüsselt gespeichert werden. Nextcloud bietet das an. Aber Achtung: beim Verlust eines Passworts hat dann auch der Provider keine Möglichkeit dir die Daten unverschlüsselt zur Verfügung zu stellen.

Nachtrag: statt KVM/QEMU kann man auch Proxmox zur Virtualisierung nutzen. Proxmox nutzt „unter der Haube“ auch KVM/QEMU. Prüfe mal ob Proxmox auf deinem NAS installierbar ist.