[Frage] Ipv6 im ip-client Modus

[PeterPawn]

Mein Ziel habe ich doch oben beschrieben:
[...QUOTE...]
Was ich nicht explizit erwähnt habe, aber logisch ist: Ich werde natürlich nur auf IPv6-fähige Geräte zugreifen können.

Ok, wenn das tatsächlich "das Ziel" ist und nicht nur der Weg, dann passe ich ab hier.

Wenn Du die Box unbedingt im IP-Client-Mode betreiben willst (Sie wäre dann so eine Art VPN-Gateway mit nur einem einzigen Interface? Das kann zwar funktionieren, aber nicht ooB und zwar (meine Meinung) selbst mit dem Freetz-GUI für OpenVPN nicht.), sehe ich keinen Ansatzpunkt, wo Dir meine Meinung oder mein Versuch des Mitdenkens weiterhelfen könnte.

Ich verstehe noch nicht einmal, wie aus dem IPv4-Paket Deines iOS-Gerätes plötzlich und unerwartet ein IPv6-Paket werden soll (mit einem einzelnen Portmapper für 1194), mit dem Du dann auch andere IPv6-Geräte in Deinem Heimnetz erreichen kannst, wenn doch feste-ip.net das nur auf die IPv6-Adresse Deiner FRITZ!Box 7390 umsetzen würde.

Bei der Aussage "Ich werde nur auf IPv6-fähige Geräte zugreifen können." hätte ich jetzt wieder bei feste-ip.net einen Portmapper für jeden Dienst erwartet, auf den Du in Deinem Heimnetz zugreifen willst. Das würde ich nun nicht gerade mit einer VPN-Lösung als allerersten Versuch testen ... aber jeder Jeck ist anders.

"Eingepackt" kann das betreffende IPv6-Paket für das Endgerät (jenseits der FRITZ!Box) ja auch nicht sein (also als OpenVPN-Payload), denn Dein iOS-Gerät "weiß" ja gar nicht, daß es am Ende über IPv6-Transport zugreift. Also ist das am Ende ein IPv4-Paket (vom iOS-Gerät an den richtigen LAN-Client im VPN), was in einem IPv4-Paket vom iOS-Gerät auf die Reise geht und von feste-ip.net wird dann der Payload (der verschlüsselte OpenVPN-Payload an dieser Stelle) in ein IPv6-Paket übernommen. Dieses IPv6-Paket kommt nun (nehmen wir mal an, es funktioniert) bei der 7390 an und der Payload wird auf der 7390 entschlüsselt. Wieso sollte das denn jetzt ein IPv6-Paket sein, was sich nach der Entschlüsselung ergibt? Der Portmapper bei feste-ip.net kann das nicht umgesetzt haben, es ist erstens verschlüsselt (ist ja der Sinn der Sache) und zweitens wäre das schon eine "really deep packet inspection", wenn bei feste-ip.net festgestellt würde, was da im Paket enthalten ist und wie das geändert werden müßte/könnte (wenn es ginge). Es würde also - im Gegensatz zu dem von Dir Geäußerten - sogar keinesfalls funktionieren, ein IPv6-Gerät im LAN der 6360 über eine OpenVPN-Verbindung zu einer 7390 im IP-Client-Mode zu erreichen, weil der Inhalt der verschlüsselten Pakete schlicht IPv4 wäre. Wenn ich nicht Deine Eingangsvoraussetzungen total falsch verstanden habe ... es ist aber auch nicht ganz einfach, Deinem ersten Text da die richtigen Informationen zu entnehmen, denn es geht schon etwas durcheinander.

 

[linuzer]

Also ich glaube einer von uns beiden steht gerade mächtig auf dem Schlauch...

Mal sehen, nochmal langsam zum mitdenken:
Eine VPN-Verbindung besteht darin, dass IP-Pakete in anderen IP-Paketen "verpackt" werden. Dabei weiss die "Hülle" nichts von ihrem Inhalt, denn der ist verschlüsselt. Die "Hülle" ist der VPN-Tunnel, der auf meinem iPhone zwingend als IPv4 beginnen muss, weil alle Mobilfunkprovider bisher nur IPv4-Internet anbieten. Diese VPN-Hülle wird über feste-IP.net auf eine IPv6-Verbindung umgemappt, ohne dass die etwas vom Inhalt zu sehen bekommen (der ist ja immer noch verschlüsselt). Diese IPv6-Verbindung kommt auf genau einem einzigen Port an meiner 6360 an und soll von dort auf einen dahinter liegenden VPN-Server weitergeleitet werden, wo die Inhalte ausgepackt, entschlüsselt und in das lokale LAN geschickt werden. Diese Weiterleitung erfolgt auf IPv6, weil die 6360 das nicht mehr umsetzt (das ist allerdings nur eine Vermutung, denn den "normalen" Internet-Verkehr setzt sie doch auch auf IPv4 um, oder sehe ich das falsch?)

Wei auch immer, der Inhalt der verschlüsselten Pakete ist davon völlig unberührt. Zum einen ist ein iPhone sehr wohl in der Lage über eine VPN-Verbindung eine IPv6-Adresse zu beziehen und mit allen Geräten auf IPv6 zu kommunizieren. Dazu muss der VPN-Server halt in der Lage sein eine IPv6-Adresse zu vergeben, die im Präfix des lokalen LAN sein muss (ist OpenVPN dazu etwa nicht in der Lage??). Somit ist der Inhalt der verschlüsselten Pakete IPv6 und wird so in mein lokales LAN geleitet, welches auch vollständig IPv6 spricht -> ergo kann ich mit allen Geräten kommunizieren.
Andererseits ist das eigentlich gar nicht nötig, denn der VPN-Server ist doch gar nicht gezwungen eine IPv6-Adresse für den Tunnel zu vergeben, er kann genauso gut eine IPv4-Adresse aus dem lokalen Adressbereich vergeben, womit die verschlüsselten Pakete alle "lokale" IPv4-Pakete aus meinem LAN sind. Oder er gibt mir eine IPv4 aus einem anderen Netz und macht ein NAT, das ist doch die Standardfunktion eines jeden VPN-Server.

Im Endergebnis sollte mein iPhone durch den VPN-Tunnel Teil meines lokalen LANs werden.

Wenn ich jetzt hier einem gewaltigen Denkfehler aufsitze, dann setz mir bitte die Brille auf, denn ich sehe ihn nicht.

Viele Grüße,
linuzer

 

[PeterPawn]

@linuzer:
Eigentlich war ich ja raus, aber die Frage will ich nicht ignorieren.

Wie stellst Du Dir denn das "lokale" IPv6-Netz für die FRITZ!Box 7390 vor, aus dem ja dann die IPv6-Adresse Deines iPhones stammen müßte? Eine link-lokale IPv6-Adresse (fe80::/10) ist per Definition bei IPv6 nicht routebar und zwar auch nicht durch ein VPN. Bleibt also noch die (manuelle oder automatische) Vergabe eines IPv6-Segments mit einer ULA ... dafür brauchst Du aber wieder den DHCPv6-Server in der FRITZ!Box - solange Du keine statische Konfiguration für die Clients verwendest - und der ist (meines Wissens, ich prüfe das jetzt nicht extra noch einmal, es muß also nicht stimmen) im IP-Client-Mode ebenfalls wieder nicht aktiv ... es würde mich jedenfalls stark verwundern, wenn es anders wäre und dann würde ich eher fragen, was ein DHCPv6-Server auf einer FRITZ!Box zu suchen hat, wenn diese kein Router ist.

Die nächste Frage, die sich mir stellt, ist die nach dem Weg der Pakete von einem IPv6-Client "hinter" der 7390 über das OpenVPN zum iPhone ...

Eine Bridge wäre eine mögliche Lösung, da es dort egal ist, was auf Layer3 und darüber in den Paketen steht. Da muß der OpenVPN-Server lediglich als ARP-Proxy anstelle des entfernten Clients auf ARP-Requests antworten und dann landen die Pakete für das entfernte Netz (oder das einzelne Gerät) irgendwann im openvpn-Daemon und werden für das Ziel verpackt. So ist das jedenfalls bei IPv4-Verbindungen. Bei IPv6 kommt an dieser Stelle aber das "Neighborhood Discovery Protocol" (NDP) zum Einsatz und daß der openvpn-Daemon auch für IPv6 als NDP-Proxy arbeitet, wäre mir neu (was aber nichts heißen muß, es wäre durchaus möglich). Aber die ganze Geschichte mit Layer2-Forwarding widerspricht ja ohnehin der "tun"-Einstellung in Deinem Screenshot von den OpenVPN-Einstellungen.

Ansonsten (bei OpenVPN im Routing-Modus) müßte die FRITZ!Box 7390 ihrerseits ein eigenes IPv6-Netz (mit einer ULA) aufmachen und auch mit einer passenden Client-Konfiguration aufwarten (der Client kennt ja den zugewiesenen IPv6-Präfix per se erst mal nicht), denn die ganzen Automatismen von IPv6 (die basieren wiederum auf ICMPv6) setzen ja auch auf Broadcasts und die kriegst Du bei Layer3-Forwarding (das ist ja der Router-Modus von OpenVPN) auf der anderen Seite nicht mit.

Das sind erst mal die Bedenken, die mir als erstes kommen, wenn ich

Zum einen ist ein iPhone sehr wohl in der Lage über eine VPN-Verbindung eine IPv6-Adresse zu beziehen und mit allen Geräten auf IPv6 zu kommunizieren. Dazu muss der VPN-Server halt in der Lage sein eine IPv6-Adresse zu vergeben, die im Präfix des lokalen LAN sein muss (ist OpenVPN dazu etwa nicht in der Lage??).

lese.

Die Erkenntnis, daß am Ende ja IPv4-Pakete aus dem OpenVPN-Tunnel kommen können, hat sich ja inzwischen bei Dir offenbar auch durchgesetzt. Das dürfte vorher nicht so gewesen sein, denn Du hast ja vorhin noch etwas wie

Was ich nicht explizit erwähnt habe, aber logisch ist: Ich werde natürlich nur auf IPv6-fähige Geräte zugreifen können.

geschrieben.

Am Ende - einen funktionsfähigen OpenVPN-Server auf der 7390 mal angenommen, der auf der WAN-Seite IPv6 verwendet - landest Du doch dann genau bei einer FRITZ!Box im Router-Modus, die auf dem WAN-Interface (LAN1) keine IPv4-Adresse verwendet und mit einem der anderen Ports problemlos in das LAN der 6360 integriert werden kann, wo dann auch die IPv4-Pakete von OpenVPN-Clients landen.

Und noch eine letzte Bemerkung zu

das ist allerdings nur eine Vermutung, denn den "normalen" Internet-Verkehr setzt sie doch auch auf IPv4 um, oder sehe ich das falsch?

Was soll da irgendwie "umgesetzt" werden?

Die FRITZ!Box verpackt zwar den IPv4-Verkehr für externe Ziele in ein IPv6-Paket, aber der geht dann an das AFTR-Gateway beim Provider und dort findet dann das "Carrier Grade NAT" statt. Die Antworten aus dem Internet landen dann ebenfalls wieder beim AFTR-Gateway und werden von diesem dann in IPv6-Pakete für die FRITZ!Box verpackt. Da findet aber keine Umsetzung irgendwelcher Payloads in Paketen statt, die IPv6-Kapselung liegt ähnlich wie bei einem VPN um das IPv4-Paket "herum" ... es fehlt eigentlich nur die Verschlüsselung, ansonsten ist das auch ein "Tunnel" für IPv4-Pakete aus dem LAN über IPv6 zum AFTR-Gateway des Providers. Von einer "Umsetzung" ist da also eigentlich nichts zu sehen, das läuft tatsächlich als IPv4-in-IPv6-Tunnel (die Beschreibung findet man in RFC 6333), wo eben außen herum eine zusätzliche "Verpackung" erfolgt, die am Ziel wieder entfernt wird und dann steht das ursprüngliche IPv4-Paket wieder in voller Schönheit da.

Ich weiß - wie schon einmal geschrieben - nicht, wie feste-ip.net das realisiert. Aber ein 4in6-Tunnel von "meinhost.feste-ip.net" zur FRITZ!Box kann es ja eigentlich nicht sein, denn die FRITZ!Box rechnet ja nicht damit, daß sich da im ankommenden IPv6-Paket eigentlich ein IPv4-Paket verbirgt, was nach Entfernen der "Transportverpackung" zum Vorschein kommt. Außerdem macht mich die Beschränkung auf TCPv6 beim Port-Mapping stutzig, die wird wahrscheinlich auch ihre Gründe haben.

Also ich glaube einer von uns beiden steht gerade mächtig auf dem Schlauch...

Wenn ich also auf dem Schlauch stehen sollte, müßtest Du mir netterweise aufzeigen, wo meine theoretischen Überlegungen nicht stimmen.

 

[linuzer]

@PeterPawn:
Weißt du, ich habe weder Zeit noch Lust mit dir unendlich theoretische Überlegungen zu diskutieren. Du markierst hier den Reichsbedenkenträger von was du dir alles nicht vorstellen kannst, dabei interessiert mich das nicht die Bohne. Ich habe ein konkret umrissenes Problem und ein klares Ziel.

Kannst Du mir konkrete Vorschläge machen dieses Ziel zu erreichen? Dann freue ich mich sehr über Deine hilfreichen Kommentare!

Grüße,
linuzer

 

[PeterPawn]

Ich habe ein konkret umrissenes Problem und ein klares Ziel.

Da haben wir offenbar sehr unterschiedliche Positionen und die Bemerkung, einer von uns stehe auf dem Schlauch, stammte von Dir. Daher die noch ausführlichere Erläuterung, was ich eigentlich meinte, da Du ja offenbar das zuvor Geschriebene nicht richtig verstanden hattest. Betonung auf "richtig", nicht auf "verstanden". Aber nach meinem Dafürhalten ist Dir ja bisher nicht einmal richtig klar, ob Du nun die Geräte im LAN per IPv4, IPv6 oder sogar mit beiden Protokollen vom iPhone erreichen willst/kannst.

Wenn Du noch einmal liest, könntest Du meinen Vorschlag zwar selbst finden, aber gerne noch einmal in kondensierter Form:

- FRITZ!Box im Router-Mode
- WAN (also LAN1) nur als IPv6 hinter der 6360 mit einer öffentlichen Adresse, die von der 6360 "ausgegeben" wird
- LAN als IPv4-Netzwerk mit demselben Subnetz wie es auch von der 6360 intern verwendet wird
- passende OpenVPN-Konfiguration, um den IPv4-Verkehr vom iPhone auf der 7390 wieder zu entschlüsseln und ins LAN weiterzuleiten

Wenn Du etwas zurückblätterst, steht das im Prinzip genauso schon in #59.

Kannst Du mir konkrete Vorschläge machen dieses Ziel zu erreichen?

Welche noch?

Wenn Du eine Konfigurationsdatei erwartest, muß/will ich Dich enttäuschen ... ich schreibe keine "Kochbücher". Es ist immer noch Dein Problem und wenn Du schon nicht vorher gründlich darüber nachdenken willst, wirst Du ja sicherlich nicht erwarten, daß Dir jemand die Arbeit beim Konfigurieren und Testen abnimmt. Auch einen Vorschlag zur systematischen Vorgehensweise (erst mal die prinzipielle Funktion des OpenVPN-Servers sicherstellen) habe ich in #59 schon unterbreitet ... was erwartest Du noch von einer Antwort bzw. einem Vorschlag?

Ich verstehe ohnehin Dein Ziel immer noch nicht und nach #62 Absatz 3 bist Du Dir selbst darüber noch nicht endgültig im Klaren. Wenn Dein Ziel z.B. "FTP-/WebDAV-Zugriff vom iPhone (mit OpenVPN Connect) auf ein NAS mit DualStack hinter der 6360" wäre, könnte ich das verstehen, aber "ich will auf alle Geräte zugreifen" ist für mich kein konkretes Ziel, denn es gibt dabei so viele Wege und Möglichkeiten, daß man unmöglich alles abdecken kann. Ich ging bisher eigentlich davon aus, daß Du soweit Bescheid weißt, daß Du den Unsinn einer Forderung "Ich will alles." einschätzen könntest und genau deshalb habe ich nach konkreten Zielen gefragt.

Da das aber etwas abdriftet, wir wohl kaum auf einen grünen Zweig bei dieser Diskussion gelangen werden und ich das weder Dir noch mir antun will/muß, drücke ich Dir die Daumen, daß Du Dein Problem irgendwie lösen kannst ... ob Du dabei auch meinen Vorschlag in Betracht ziehen willst (bzw. ob der überhaupt zu Deinen Anforderungen paßt), mußt Du ohnehin selbst entscheiden.

Frohes Osterfest ...

 

[linuzer]

Lösung Nr. 2

Auch wenn es sich PeterPawn nicht vorstellen kann, aber es geht doch!

Im Prinzip habe ich den Ansatz von "gauner" im Post #16 weiter entwickelt und den OpenVPN auf der gefreetzen 7390 zum Laufen gebracht, sowie eine Portweiterleitung auf der 6490 und ein paar zusätzliche Routungen. Ich kann jetzt das ganze LAN vom Handy aus erreichen, genauso wie das über die Fritz-VPN an einem normalen DSL-Anschluss schon immer ging. Und natürlich ist das aufwändiger, als einfach eine FipBox zu starten, aber dafür auch billiger...

Details stehen hier:
http://www.unitymediakabelbwforum.de/viewtopic.php?f=53&t=30898#p321605

Gruß,
linuzer

 

[PeterPawn]

Es mag ja sein, daß ich mich etwas unklar ausdrücke (dachte ich eigentlich nicht, aber man lernt ja nie aus) ... ich habe nie bezweifelt, daß es sich lösen läßt und es machbar ist, IPv4 durch eine IPV6-basierte OpenVPN-Verbindung zu tunneln. Einen möglichen Vorschlag, das im Router-Modus zu realisieren, habe ich doch in #59 gemacht ... wieso behauptest Du dann, ich könne mir das nicht vorstellen?

Was ich mir nicht vorstellen konnte (das geht aus den widersprüchlichen Ausführungen weiter oben für mich klar hervor) war, daß Du Dir tatsächlich vorher Gedanken gemacht hast, was Du wie am Ende erreichen willst bzw. ich traf die Feststellung auf der Basis, daß Du Dein Anliegen einfach nicht klar darstellen konntest (nicht mal, ob da nun IPv4 oder IPv6 getunnelt werden sollte und wer oder was das dann am Ende zwischen den Protokollen (zurück) übersetzen soll). Wenn ich Deine Lösung richtig verstehe, erreichst Du ja jetzt per IPv4 vom iPhone aus auf der OpenVPN-Client-Adresse alle Host in Deinem Netzwerk, was in direktem Widerspruch zu

Was ich nicht explizit erwähnt habe, aber logisch ist: Ich werde natürlich nur auf IPv6-fähige Geräte zugreifen können.

steht. Du hast im Moment "nur" eine ankommende IPv6-Verbindung mit einem IPv4-basierten OpenVPN-Payload ... das ist - wenn man den Mapper bei feste-ip.net mal außen vor läßt - exakt die vorgeschlagene Lösung.
Ich darf mich mal selbst zitieren (#59): "Wenn Du also irgendwo anders eine passende Gegenstelle hast, die ihrerseits den dortigen IPv4-Verkehr in OpenVPN kapselt (die könnte dann natürlich auch gleich selbst IPv6 senden und sich den Weg über feste-ip.net sparen), dann könnte das für eine LAN-LAN-Kopplung über OpenVPN schon ausreichend sein."
Die passende Gegenstelle ist eben das iPhone, ob Du am Ende eine LAN-LAN-Kopplung oder ein Host-LAN-VPN haben wolltest, hattest Du bis zu diesem Zeitpunkt noch nicht erwähnt (oder ich finde es nur nicht). Mein Einstieg in diese Diskussion (#55) war überhaupt nur Deine Frage, ob die 6360 da am Ende wieder etwas von IPv6 nach IPv4 übersetzen würde ... aber das ist Schnee von gestern.

Ich hätte es halt anders realisiert, aber es mögen ja viele Wege nach Rom führen. Du hast Deinen eigenen gefunden und dankenswerterweise auch gleich noch ordentlich für andere dokumentiert. Bravo - ohne wenn und aber.

Wenn der Portmapper bei feste-ip.net offenbar den TCP-Payload so von einem Protokoll in das andere überträgt, daß sogar OpenVPN daran nichts auszusetzen hat, dann ist er ja wunderbar transparent.

So richtig spannend (und dann auch ohne OpenVPN sinnvoll nutzbar) wäre jetzt genau das Freetz-Paket, das aus dem IPv6-Verkehr, der nach dem Mapping auf der FRITZ!Box ankommt, wieder IPv4-Pakete für das Netzwerk macht, ohne daß auf dem zugreifenden Client (in Deinem Fall ja das iPhone) ein VPN zum Tunneln verwendet werden müßte und ohne daß OpenVPN auf der FRITZ!Box obligatorisch ist. Am Ende also genau die Software, die auch auf einer FIP-Box laufen müßte ...

Da so eine FIP-Box nach meinem Verständnis auch nur ein RasPi mit vorinstalliertem System ist, kann ja vielleicht jemand mit einer solchen Box mal einen Tipp geben, was da am Ende eingesetzt wird. Ob man das dann auf eine FRITZ!Box kriegt, muß man sehen ... aber warum sollte das nicht funktionieren?

Zur IPv6-Konfiguration der 7390:
Bei mir holt sich eine 7390 im Router-Modus über LAN1 mit einer 6490 verbunden (war vorher eine 6360 im DS-Modus) auch automatisch eine IPv6-Adresse, wenn der Anschluß der 6490 mit IPv6 läuft. Das ist im Moment - leider - nicht mehr der Fall, das war nur mal als "Unfall" infolge falscher Einstellungen bei KDG für eine Woche ein DS-Lite-Anschluß, bei der 6360 war es wie erwähnt Dual-Stack und lief mindestens seit der 06.20 im Herbst 2014 problemlos. Meine "Erfahrungen" mit der IPv6-Adresskonfiguration basieren also auf einer 6360 (KDG, 06.05) und einer 7390 (06.20).

Aber ansonsten kommen/kamen 6490 (06.10), 6360 (06.05) und 7390 (06.23, allerdings im Normalfall ohne Freetz) auch wunderbar mit SLAAC bei der IPv6-Konfiguration aus und sowohl die Zuweisung einer IPv6-Adresse für die 7390 als auch "router discovery" (womit die Notwendigkeit der Konfiguration des Gateways entfällt) funktionieren reibungslos. Ob das im IP-Client-Mode der 7390 auch so wäre, will ich gar nicht selbst testen ... wenn Deine Vermutung im UM-Forum zutrifft, ist es ja ein Bug, der dann sicherlich irgendwann mal gefixt wird. Bei der Kombination 6490 mit 7390-(Router) bei mir trat er jedenfalls nicht auf.

Wenn die 6490 entsprechend eingestellt ist (als DHCPv6-Server) oder die notwendigen ICMPv6-Pakete für SLAAC in ihrem LAN verteilt (Wireshark hilft beim Schnüffeln), dann klappt es vermutlich aber auch mit der automatischen IPv6-Konfiguration für die 7390. Vielleicht überprüfst Du also für eine Lösung bei der Zuweisung der IPv6-Adresse für die 7390 doch noch einmal die Einstellungen in der 6490, denn wenn die den erhaltenen Präfix weder per DHCPv6 noch per Broadcast bekannt macht, kriegen die Clients davon auch nichts mit.