OpenVPN Einrichtung für iOS Geräte um VPN zur FritzBox nutzen zu können mit IPv6 Adresse !?

[MarcosM]

Hallo.

Die Kabelanbieter bieten heutzutage fast nur noch DS LITE Anschlüsse, womit keine öffentliche IPv4 Adresse mehr ausgegeben wird. Das hat den Nachteil, dass man über IPv6 nicht mehr die FritzBox eigenen VPN Dienste nutzen kann, da IPSec nicht unterstützt wird.

Die einzige Möglichkeit wäre sich über OpenVPN zu verbinden. Leider finde ich aber hierzu keine Anleitung im Netz wie man es einrichtet.
Weiss jemand von euch mehr?

Danke

 

[HabNeFritzbox]

Dann bräuchtest aber auch IPv6 im Mobilfunk oder anderen Hotspots oder von wo auch immer dort zugreifen willst.

Einfach mal Suche nutzen, gibt genug Anleitungen für Freetz, openvpn ect.

Oder halt nen NAS, RasPi oder ähnliches im Netzwerk welcher den Server macht, dieser muss nicht zwingend auf der FB selbst sein.

Nutze openVPN via IPv6 ohne Probleme über den NAS, und komme so auch auf die FB ect.

 

[MarcosM]

Danke erstmals.

Ich denke da aber eher daran es direkt mit der FritzBox nutzen zu können ohne Sie zu modizieren und ohne noch einen Server bereitstellen zu müssen.

 

[HabNeFritzbox]

Dann Wechsel den Anbieter, der dir auch öffentliche IPv4 Adresse zuweist.

 

[MarcosM]

Ja aber das ist auch nicht die Lösung, wenn man einen Vertrag hat

 

[HabNeFritzbox]

Dann musst halt mit leben wie es ist.

 

[MarcosM]

Ich denke nicht, denn es gibt ne Webseite wo IPv4 Adressen in IPv6 umgesetzt werden, also damit erreicht man auch aus nur IPv4 Netzen die Fritzbox. Aber das Problem ist nur VPN. Das soll anscheinend mit OpenVPN funktionieren. Die Frage ist nur ob dazu die Fritzbox ausreicht, oder doch irgendein Server im Netz die Dienste annehmen muss

 

[schnurgly]

schau mal bei www.feste-ip.net vorbei. Die bieten Portmapper-Dienste an.

 

[MarcosM]

ja da war ich schon. Frage ist nur wie dieses OpenVPN funktioniert..

 

[HabNeFritzbox]

Gar nicht, kann die FB nicht. Nur IPsec VPN mit IKE 1 über IPv4.

 

[thomasschaefer]

Hallo,

Meine Anleitung funktioniert zwar nicht auf der Fritzbox aber kurz dahinter. Ich nehme dazu einen mittlerweile betagten Raspberry Pi.

http://www.thomas--schaefer.de/openvpn-fuer-altlasten.html

Wie schon erwähnt wurde, ist natürlich auch IPv6 im Mobilfunknetz Voraussetzung. Bei der Telekom ist das bereits gegeben, bei Vodafone dauert es noch ein paar Wochen.
https://forum.vodafone.de/t5/Mobilfunk/IPv6/m-p/1518179#M154093

Mit freundlichen Grüßen
Thomas Schäfer

 

[splenditnet]

@thomasschaefer: Danke für die Info!

http://www.thomas--schaefer.de/openvpn-fuer-altlasten.html
Wozu wird das Skript benötigt ?

ip neigh add proxy fd00::1:1001 dev eth0
ip neigh add proxy fd00::1:1002 dev eth0
ip neigh add proxy fd00::1:1003 dev eth0

leider für jede IPv6-Adresse einzeln,
oder via diesem Shellaufruf einfach mal für alle setzen:

for i in $(seq 0 65535) ; do ip neigh add proxy fd00::1:$(printf %x $i) dev eth0; done

ich habe mich bzgl. IPv6 nicht so tief eingearbeitet, daher würde ich mich über Hinweise freuen.

Funktioniert die vorgeschlagene Lösung:

Für IPv6 kann man auch noch auf ein richtiges geroutetes Netz setzen (die Fritzbox unterstützt dhcpv6-pd).

Jetzt ist der Router für den Einsatz mit eigenem IPv6-Subnetz eingerichtet und erhält von der FRITZ!Box per DHCPv6 Prefix-Delegation ein /62-Präfix.

auch bei FB6490-Providergerät, z.B. bei DS-Full oder DS-Lite-Anschluß von VF/KD oder LGI/KBW ?
oder geht das nur bei eigener Box (freier FB6490 an Cabel-Anschluß oder FB7490 z.B. bei Telekom) ?

 

[HabNeFritzbox]

Kommt eher auf FW der FB an wegen extra Subnet für IPv6 was angefordert werden kann.

Jedoch brauchst dafür extra Server auf anderem Gerät was ja nicht möchtest.

 

[thomasschaefer]

Neighbour proxy und arp proxy habe ich verwendet um zusätzliche Routen auf allen beteiligten Geräten inklusive der Fritzbox vermeiden zu können.
Mit einen gerouteten Netzwerk der Fritzbox sollte es auch funktionieren. Allerdings war mir der Aufwand mit dhcpv6 zu hoch. Bei einigen Providern gibt es sowieso nur /62 oder gar nur /64 - bei letzterem bleibt nur die Proxy-Lösung. Mein Skript funktioniert bei mir recht gut. Eine Schwäche ist u.a., dass es auf sich ändernde Netzwerkkonfigurationen nicht dynamisch anpasst. Es fehlt weiterhin ein solides Shutdown-Skript, d.h. bei einer Neueinwahl meiner Fritzbox (alle paar Wochen mal) ist ein manueller Eingriff am Raspberry Pi bzw. openvpn notwendig.

 

[splenditnet]

Wie kann ich mir MyFritz.net vorstellen ?
Ist das ein "Reverse-HTTPS-Proxy" der IPv4 durch einen IPv6 Tunnel zur eigenen FritzBox forwarded + "DynDNS-Server" für IPv4 ?
oder kann ich hier auch PCP-Mappings zu meiner FritzBox eintragen und damit IPv4 über einen IPv6-Tunnel einrichten ?

Ich hoffe meine Fragen sind verständlich;

 

[thomasschaefer]

Myfritz wird nur als dyndns genutzt. Es mappt also klassisch zwischen IP-Adressen und Namen, wobei es eben beide Protokolle IPv6 und IPv4 ( sofern noch vorhanden) unterstützt.
Das Portal von myfritz dient im Wesentlichen nur zur Einrichtung, im laufenden Betrieb ist es nahezu bedeutungslos.

 

[splenditnet]

MyFritz.net:
ich frage mich eben, wie der Zugriff per MyFritz.net auf die eigene Fritzbox (GUI, NAS) mit DS-Lite-Anschluß funktioniert ?
und wenn da ein Reverse-Proxy verwendet wird, der https an der public IPv4-Adresse annimmt und über einen IPv6-Tunnel zur eigenen Fritzbox getunnelt wird, ob man da nicht evtl. durch Port-Änderung an Fritzbox mit Portforwarding auch ein Webserver aus LAN aus Internet statt der FritzBox erreicht werden könnte.

Dann sollte auch SSL-VPN möglich sein.

wie gesagt, mir geht es ums Verständnis der Technik.

 

[thomasschaefer]

Die Antwort Deiner ersten Frage:
Via IPv6!
AAAA-records.
Da wird kein Proxy verwendet. Denke es nicht komplizierter als es ist.
Man kann auch bei DS-lite direkt vom (Telekom) Handy auf seine Fritzbox oder dahinter liegende NAS, Server etc. zugreifen.
SSL VPN ist auch möglich.

 

[HabNeFritzbox]

MyFritz ist nur DDNS, hat also nichts zutun mit nem Proxy oder sonst was.

Deine FB wirst also so trotzdem nur via IPv6 abrufen können.

Wenn es bloß um FB WebIF geht, kann man Fernwartung aktivieren und so auch via IPv6 zugreifen.

 

[splenditnet]

@thomasschaefer + @HabNeFritzbox: Thanks