Wireguard VPN dynamische IPv6

[GWire]

Hallo zusammen,

meine Geräte gehen über meinen Wireguard Server online.
Nun habe ich ein Script erstellt, dass die bestehende inet6 Adresse in ens3 (Netzwerkkarte) ändert. Das funktioniert soweit, nur dauert es, bis Wireguard (wg0) das mitbekommt. Soweit ist das kein Problem, wenn das einmal am Tag passiert, aber ich hätte das Script gerne so, dass es jede Sekunde die inet6 Adresse (IPv6) von ens3 ändert. Auch das funktioniert, nur dann dauert es eben, bis Wireguard davon mitbekommt. Beispielsweise schafft es das Apple iCloud Private Relay. Wenn ich dort eine die IP Adresse jede Sekunde abfrage, bekomme ich auch jede Sekunde eine neue angezeigt. Bei meinem Wireguard Server hat es folgende Auswirkung, dass die neue IPv6 nicht sofort erkannt wird und die IPv4 "durchrutscht". Würde ich also komplett auf IPv6 setzen, habe ich für einige Sekunden keine Internetverbindung. Wireguard ist doch so "schnell"... oder liegt der Fehler nicht an wg0 (Wireguard) sondern ans ens3 (Netzwerkkarte) ?

Das ganz läuft auf meinem VPS. Ich habe 2 Vermutungen. Geschwindigkeit der Hardware oder eben doch ein Wireguard Problem.

Viele Grüße.

 

[frank_m24]

Ich hab nicht im Entferntesten verstanden, was du da machst, und vor allem nicht, warum. Mir scheint, das ist ein XY Problem. Du versuchst irgendwas zu erreichen und denkst, dafür eine Lösung gefunden zu haben. Nun kämpfst du mit den Auswirkungen dieser Lösung, dabei könnte man dein Ursprungsproblem möglicherweise anders besser lösen. Vielleicht macht es also Sinn, die Hintergründe zu erklären.

meine Geräte gehen über meinen Wireguard Server online.

D.h., die Default-Route läuft über Wireguard?

Nun habe ich ein Script erstellt, dass die bestehende inet6 Adresse in ens3 (Netzwerkkarte) ändert.

Das ist die Haupt-Karte auf dem Server? Also darüber geht der VPS mit dem Wireguard Server online? Oder ist es die Karte auf dem Client?

Das funktioniert soweit, nur dauert es, bis Wireguard (wg0) das mitbekommt.

Was meinst du mit "mitbekommt"? Wiregaurd hat mit der Netzwerkkarte doch gar nichts zu tun. Warum sollte es da was mitbekommen?

Soweit ist das kein Problem, wenn das einmal am Tag passiert, aber ich hätte das Script gerne so, dass es jede Sekunde die inet6 Adresse (IPv6) von ens3 ändert.

Wie gesagt, ich kann mir keinen sinnvollen Anwendungsfall dafür vorstellen. Schon allein, weil die meisten Antwortpakete den Server dann ja nicht sinnvoll erreichen werden. Die werden ja von der Gegenseite an die gleiche Adresse zurückgeschickt, von der sie kommen, aber wenn die Adresse jede Sekunde weg ist, führt das zu zahlreichen Paketverlusten.

Bei meinem Wireguard Server hat es folgende Auswirkung, dass die neue IPv6 nicht sofort erkannt wird und die IPv4 "durchrutscht".

Was heißt denn "durchrutscht"? Und das "nicht Erkennen" der IPv6 ist vermutlich einfach eine Auswirkung der preferred lifetime. "Problem" möchte ich nicht sagen, denn das Verhalten dürfte gewünscht sein.

Wireguard ist doch so "schnell"... oder liegt der Fehler nicht an wg0 (Wireguard) sondern ans ens3 (Netzwerkkarte) ?

Wieso ist Wireguard "schnell"? In welchem Zusammenhang? Meinst du bei der Verschlüsselung und Datenübertragung? Ja, stimmt. Nur hat das nichts mit deinem Anwendungsfall zu tun.

Also lange Rede, kurzer Sinn: Wenn du wirklich die IP eines Interfaces jede Sekunde wechselst (d.h., nur die neue ist da und die alte ist weg), dann halte ich es für völlig ausgeschlossen, dass der Server überhaupt einigermaßen stabile Verbindungen aufbauen kann. Downloads, VPN, eingehende Serververbindungen: All das wird nicht stabil funktionieren. Und zwar einfach deshalb, weil viele Antwort-Pakete den Server nicht erreichen werden.

 

[GWire]

Kennst du iCloud Private Relay? Aber so sympathisch du auch klingen möchtest, bist du wahrscheinlich ein Apple Gegner?

Das Private Relay lässt dich jede Sekunde eine neue IPv6 haben ohne die Verbindung zu beeinträchtigen.

Danke, dass du dir deine Frage selbst beantwortet hast in den letzten Sätzen, du hast das Problem erkannt und scheinst auch zu wissen, dass es zu Unterbrechungen kommt. Der Sinn leuchtet dir also ein. So ganz unmissverständlich ist mein Post absolut nicht.

 

[Novize]

Aber so sympathisch du auch klingen möchtest, bist du wahrscheinlich ein Apple Gegner?

Bitte mal den Ball flach halten und sachlich bleiben! Diese persönliche Schiene wird hier von keinem geduldet, auch nicht von Dir.
Wenn jemand hier sachlich und kompetent antwortet, dann gehört frank_m24 definitiv dazu. Wenn schon er das nicht so wirklich versteht, was Du da zauberst, dann liegt es eher an Dir, also erkläre das was und warum so, dass jeder, der nicht vor Deinem Monitor sitzt, das alles auch versteht.

 

[frank_m24]

Kennst du iCloud Private Relay?

Nein. Davon hab ich nie gehört. Ich bin kein Apple Gegner, aber ich nutze es nicht, bis auf eine Testinstallation von macOS in einer VM.

Das Private Relay lässt dich jede Sekunde eine neue IPv6 haben ohne die Verbindung zu beeinträchtigen.

Ich habs jetzt mal gegooglet. Da gibt es nicht zwangsläufig jede Sekunde eine neue IP, sondern für jede neue Verbindung. Die Zuordnung "externe IP" <-> "deine Verbindung" ist dann aber statisch. Sie besteht also deutlich länger, als eine Sekunde. Technisch ist das also was völlig anderes, als einem Netzwerkgerät jede Sekunde eine andere IP zu erteilen und damit alte Verbindungen zu kappen.

Danke, dass du dir deine Frage selbst beantwortet hast in den letzten Sätzen, du hast das Problem erkannt und scheinst auch zu wissen, dass es zu Unterbrechungen kommt.

Ja. Natürlich kommt es da zu Unterbrechungen. Wie schon erwähnt: Wenn du jede Sekunde die IP wechselst, dann muss es zwangsläufig zu Unterbrechungen kommen. Daran kann man auch nichts machen. Das hat mit einem Nachbau des iCloud Private Relays auch nichts zu tun. Das funktioniert technisch gänzlich anders. Technisch kommt im iCloud Private Relay eher ein Proxy zum Einsatz.

Bevor du jetzt auf die Idee kommst, jede Sekunde eine IP zum Interface hinzuzufügen: Das wird auch nicht funktionieren, da die zugrundeliegende Installation die Adresse dann nicht nutzen wird. Du müsstest eine Gateway-Software bauen, die in Abhängigkeit der Verbindungsparameter (Quell-Adresse, Ziel-Adresse, Layer 4 Protokoll, ggf. Portnummer) eine andere Abgangs-IP wählt und das Mapping aufrecht erhält, um Antwortpakete entsprechend routen zu können. Meines Wissens ist eine solche Software unter Linux im Moment nicht verfügbar.

Generell muss man sagen, dass der Privacy Gewinn auf einem VPS auch gering wäre. Dort hast du nur ein Prefix, aus dem du die Adressen generieren kannst (/64 oder vielleicht auch /56 oder /48). Aber dieses Prefix ist jederzeit deinem VPS zuzuordnen. Das heißt, der Gewinn ist gleich Null. Der Gewinn beim iCloud Private Relay ist zwar auch nicht riesig, aber doch deutlich größer.

Im Grunde hatte ich also Recht: Es ist ein XY Problem.

 

[chrsto]

Unabhängig davon ist das Private Relay von Apple etwas mehr als nur Proxy und wechselnde IP. Das ganze Setup ist zweigeteilt: ein Teil steht bei Apple und ein zweiter bei einem von Apple unabhängigen Anbieter.

Damit möchte Apple sicherstellen, dass weder die Server, die eine App/der Browser kontaktiert, noch Apple selbst etwas mit den anfallenden Metadaten anfangen kann und keinem Device/Nutzer zugeordnet werden können.

Allerdings bleibt es auch damit bei der Grundaussage von @frank_m24: Wenn man so etwas für sich selbst baut, ist es ziemlich nutzlos.

 

[GWire]

Vielen Dank Frank.

Habe mir jetzt mal nur deinen letzten Post durchgelesen, weil dieser tatsächlich von Relevanz ist und somit alle Fragen beantwortet hat. Nun habe ich das Verständnis darüber, weshalb mein Vorhaben nicht funktionieren wird.

Tor über Wireguard ist auch keine tatsächliche Lösung, da UDP in TCP getunnelt werden muss. Das schränkt die Leistung laut Recherchen enorm ein.

Was genau ist ein XY Problem? Wurde doch nun gelöst, obwohl es in diesem Sinne keine Lösung gibt.

 

[frank_m24]

Ein XY Problem:

XY-Problem – Wikipedia

de.wikipedia.org