Ich habe neuerdings einen Anschluss der Deutschen Glasfaser, was mir nun ein Problem mit meinem Wireguard macht.
In der Vergangenheit (DSL) hatte ich eine öffentliche IPv4 über die ich mich mittels DynDNS mit meinem Smartphone und Notebook per Wireguard verbinden konnte. Wichtig ist mir dabei allerdings, dass ich kein IPv6 nutzen möchte, da ich im Netzwerk per PiHole unerwünschten Internetverkehr blockiere. Ich habe v6 deaktiviert, damit dies nicht umgangen werden kann. Ich muss aber auch zugeben, dass ich mich bisher noch nie wirklich mit v6 befasst habe.
Hinter der Fritzbox sitzt übrigens eine OpnSense, die sowohl Firewall, als auch VLAN-Routing, als auch Wireguard-Server macht. Der Wireguard verbindet also nicht auf die Fritzbox, sondern per Portweiterleitung auf die OpnSense. Das Netz zwischen Fritzbox und OpnSense ist in dieser Betrachtung “unsicher” und hier sind (außer Wireguard) keine Services erreichbar.
Kurz:
Deutsche Glasfaser mit cgnat
Kein IPv6 wegen IP-Sperrlisten
Wireguard aus dem Internet auf OpnSense hinter der Fritzbox soll ermöglicht werden.
Habt ihr eine Idee wie ich das bewerkstelligen kann? Bei der Deutschen Glasfaser scheint es keine öffentlichen v4-Adressen zu geben.
DS-Lite oder CG-NAT und dann IPv6 deaktiviert!? Ernsthaft?
So ein Unfug !!!
Damit wirst du es nicht einmal schaffen dir hier bei ipv64 eine DynDNS-Adresse einzurichten, denn die würden dann ja auf die IPv4 des ISP zeigen, die du dir aber mit Dutzenden anderen Kunden dieses ISP teilen musst.
Noch mehr Unfug !!!
Wegen DS-Lite oder CG-NAT haste eh schon doppeltes NAT bei IPv4. Durch die Fritte davor nun dreifaches NAT. Schmeiß die Fritte weg oder nimm sie als WLAN-AP im LAN der OPNsense. Die sense kann man direkt an den Glasfaser-ONT (im Volksmund auch Glasfaser Modem genannt) anschließen. Mittels GIF-Interface als AFTR-Gateway haste dann auch IPv4. IPv6 ist eh obligatorsich am WAN-Interface.
Wenn du dann im LAN oder den LAN-Interfaces des sense kein v6 willst ist das eine andere Geschichte und kann amn über die Router Advertisement erreichen, indem dort IPv6 Disabled wird und in den FW-Rules auch kein ein-/ausgehender IPv6-Traffic gestattet wird.
Das ist mir klar, daher die Nachfrage wie man hier am besten vorgeht.
Wie bereits gesagt habe ich mich mit v6 bisher nicht befasst und es daher (wie am alten Anschluss) zunächst abgeschaltet. Unter anderem damit nicht die Blocklisten per v6 umgangen werden.
Daher meine Frage was es hier an Möglichkeiten gibt. Eine Option an die ich dachte wäre ein ReverseProxy auf einem vServer, der eh zur Verfügung stünde.
OK, die Sense direkt an das Modem zu hängen hatte ich auch schon überlegt. Dann müsste ich jedoch den SIP-Verkehr selbst handhaben, was ich bisweilen vermeiden wollte. Im Haus sind noch ein paar DECT-Telefone die geschäftlich genutzt werden und daher funktionieren müssen.
Tatsächlich macht die Fritzbox nut das Routing zur Sense und Telefonanlage für die DECT-Geräte. Das WLAN der FritzBox ist deaktiviert. WLAN macht ein eigener AP im WLAN-VLAN.
Natürlich ist mehrfaches NAT nicht notwendig, ich verstehe aber auch nicht wo das Problem dabei ist? (Mal abgesehen davon, dass ich halt durch das cgnat nicht durch komme - aber das hat nicht mit den mehreren Schichten zu tun). Zudem macht die Sense kein NAT, der Verkehr zwischen FritzBox und internen Netzen wird transparent geroutet.
OK, danke für die Info. Ich vermutlich muss mich doch mal in v6 einlesen, was ich schon über 10 Jahre vor mir herschiebe, da es einfach noch nie notwendig war…
Bei IPv6 gibt es kein NAT. Daher musst du nur dafür sorgen, dass die Clients im LAN der sense maximal eine Link-Lokal-Adresse (LLA) haben werden. Die LLA hat immer den Präfix „fe80::/64“ und gilt nur für das jeweilige Netzwerksegment. Das bedeute damit käme ein Client nicht einmal vom LAN ins WLAN-VLAN deiner sense und daher schon erst recht nicht ins WAN.
Der Vorteil gegenüber einer generellen Abschaltung von v6 ist aber, dass du das für jedes VLAN einzeln konfigurieren kannst und daher z.B. dem VLAN mit Servern etwas anderes erlauben als den VLAN’s LAN und WLAN.
PiHole blockiert keinen unerwünschten Internetverkehr. Falls du glaubst das wäre so, verabschiede dich bitte von dem Gedanken und nimm bei unserem lieben @aibix 2-3 Nachhilfestunden zum Thema DNS und Firewalling.
Mir ist schon klar, dass PiHole nur die DNS umleitet. Im Endeffegt führt es aber zu, dass die Clients die ungeliebten Server nicht erreichen… Jaja, außer sie umgehen den DNS oder greifen direkt per IP zu. Ist mir schon klar.
Wie gesagt hatte ich bisher v6 umschifft und daher keine Berührung damit. Ich dachte nun wenn in der Blockliste sowas steht wie:
Okay, dann machen wir für @m-electronics einen korrekten Satz draus:
Bei IPv6 gibt es per default kein NAT.
Ist im Regelfall auch vollkommen überflüssig, jedenfalls solange die ca. 340 Sextillionen möglichen IPv6-Adressen nicht annähernd an IP-fähige Geräte verteilt wurden.
Was, wenn du ausgehende DNS-Anfragen nicht per Firewall-Regel in deiner sense (außer fürs PiHole) sperrst, kein Problem ist. Wenn dann in deinem LAN jemand clever genug ist DoH (DNS over HTTPS) zu nutzen wird dir das aber auch nix bringen, denn das kannst kaum sperren.
PiHole stellt einen DNS Server bereit, der bestimmte Anfragen bewusst falsch oder gar nicht beantwortet. Nicht mehr und auch nicht weniger macht PiHole in diesem Szenario.
Für deine Clients heißt das, dass sie die betroffenen DNS Einträge nicht auflösen können, solange dein PiHole genutzt wird.
Danke euch. Auch wenn der Ton hier etwas rauer ist als ich es für notwendig halte, haben eure Hinweise mich weiter gebracht.
Meine Sense ist nun per v6 erreichbar. Die Fritzbox aktualisiert den Präfix im DynDNS.
Den Wireguard kann ich nun per IPv6 erreichen, das restliche interne Netz läuft noch komplett auf v4. Wenn ich etwas Zeit und Ruhe habe werde ich mein Netz auf Dual Stack umstellen.
