- Anzeige -

Kleiner IPv6-Workshop

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Wichtig:
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.

Re: Kleiner IPv6-Workshop

Beitragvon SpaceRat » 23.02.2015, 21:04

Conan179 hat geschrieben:Meine Frage, was ich wählen, tap oder tun?
Im grunde baue ich das avm vpn nach, also ich möchte von jedem pc aus, im andewren netz zugreifen können.

Ich tendiere zu tap.

Aber bedenke:
Für die "Road Warriors" (Also einzelne PCs, Smartphones, usw.) brauchst Du dann einen zweiten OpenVPN-Server, da "OpenVPN Connect" kein tap kann, zumindest nicht auf Android.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2617
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Kleiner IPv6-Workshop

Beitragvon SpaceRat » 23.02.2015, 21:06

Rooby hat geschrieben:sieht es so doch wohl so aus als ob das nur mit einem Openwrt relay Trick wirklich geht.

Das geht garantiert.

Rooby hat geschrieben:Ich habe keinen belastbaren post gefunden wo jemand bei so einem Anschluss (DS-light + Kastraten-HW) von außen auf seine clients an seinem nachgeschaltetem Router zuzugreifen kann.

Doch, ich habe schon per ssh auf einen solchen Router zugegriffen.
Es war zwar auch ein OpenWrt-Router, aber es war definitiv ein delegiertes Präfix und nicht das 'relayed' Präfix des TC7200.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2617
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Kleiner IPv6-Workshop

Beitragvon Conan179 » 23.02.2015, 21:08

also muss ich beide raspbis auf tap stellen?
ich hofte das nur einen auf tap server und der andere tap client und tun server für mein handy/tab macht.
BildBildBild
Conan179
Kabelexperte
 
Beiträge: 119
Registriert: 25.01.2015, 23:38

Re: Kleiner IPv6-Workshop

Beitragvon SpaceRat » 24.02.2015, 21:09

Conan179 hat geschrieben:also muss ich beide raspbis auf tap stellen?
ich hofte das nur einen auf tap server und der andere tap client und tun server für mein handy/tab macht.

Ein Mischbetrieb mit dem Server auf tap und dem Client auf tun oder umgekehrt ist wohl nicht vorgesehen.

Du kannst aber problemlos zwei OpenVPN-Instanzen parallel laufen lassen.
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2617
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Kleiner IPv6-Workshop

Beitragvon adn77 » 24.02.2015, 23:46

Ich lese auch schon seit über einem Jahr hier fleißig mit und habe mich endlos über die miserable Technik von KabelBW (TC7200) geärgert.
Seit einem guten Monat nutze ich die Lösung, die hier beschrieben ist:
http://www.unitymediakabelbwforum.de/viewtopic.php?t=29597

Da der TC7200 wirklich kein Präfix delegiert kann es meines Erachtens nicht funktionieren, einen OpenWRT Router als Router dazwischenzuschalten - dafür müsste man das abgeleitete Präfix ja irgendwie in die Routingtabelle des TC7200 "advertisen".

Beim obigen Trick funktioniert der OpenWRT Router quasi als Bridged-Firewall für IPv6.

Ich erreiche meine internen Geräte nun problemlos per IPv6 DynDNS Adresse.
Für IPv4 Geräte zeigt der DynDNS Eintrag auf einen DualStack Server, der per Apache Reverse-Proxy (via IPv6) auf meinen internen Server weiterleitet.
Durch die saubere Konfiguration sind nun sogar eingehende SIP VoIP-Gespräche per IPv6 möglich.
adn77
Kabelneuling
 
Beiträge: 10
Registriert: 15.05.2014, 19:17

Re: Kleiner IPv6-Workshop

Beitragvon Conan179 » 26.02.2015, 13:31

Also die reine openvpn verbidnung klapt, aber es gibt da ein anderes problechen, der raspi, kann zwar das andere netz an pingen, aber andere pcs, im netzwerk nicht.
Die route zum endfernten Netzwerk wird an die windows pc ausgeliefter, aber die verbindung klappt nicht.
also der Raspby hat die 192.168.1.111 das endfernte netz hat die 192.168.2.0.
Code: Alles auswählen
C:\Users\Conan>route -4 print

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0    192.168.1.222      192.168.1.2     25
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      192.168.1.0    255.255.255.0   Auf Verbindung       192.168.1.2    281
      192.168.1.2  255.255.255.255   Auf Verbindung       192.168.1.2    281
    192.168.1.255  255.255.255.255   Auf Verbindung       192.168.1.2    281
     [b] 192.168.2.0    255.255.255.0    192.168.1.111      192.168.1.2     26[/b]
     192.168.37.0    255.255.255.0   Auf Verbindung      192.168.37.1    276
     192.168.37.1  255.255.255.255   Auf Verbindung      192.168.37.1    276
   192.168.37.255  255.255.255.255   Auf Verbindung      192.168.37.1    276
    192.168.147.0    255.255.255.0   Auf Verbindung     192.168.147.1    276
    192.168.147.1  255.255.255.255   Auf Verbindung     192.168.147.1    276
  192.168.147.255  255.255.255.255   Auf Verbindung     192.168.147.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.147.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.37.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung       192.168.1.2    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.147.1    276
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.37.1    276
  255.255.255.255  255.255.255.255   Auf Verbindung       192.168.1.2    281
===========================================================================
Ständige Routen:
  Keine

C:\Users\Conan>tracert 192.168.2.32

Routenverfolgung zu nas [192.168.2.32]
über maximal 30 Hops:

  1     3 ms     3 ms     3 ms  Raspberry.fritz.box [192.168.1.111]
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3  ^C
C:\Users\Conan>


wo ist der fehler?
BildBildBild
Conan179
Kabelexperte
 
Beiträge: 119
Registriert: 25.01.2015, 23:38

Re: Kleiner IPv6-Workshop

Beitragvon SpaceRat » 26.02.2015, 16:16

Conan179 hat geschrieben:Also die reine openvpn verbidnung klapt, aber es gibt da ein anderes problechen, der raspi, kann zwar das andere netz an pingen, aber andere pcs, im netzwerk nicht.
Die route zum endfernten Netzwerk wird an die windows pc ausgeliefter, aber die verbindung klappt nicht.
also der Raspby hat die 192.168.1.111 das endfernte netz hat die 192.168.2.0.

Ist die umgekehrte Route für das Netz 192.168.1.0/24 auch im entfernten Netz vorhanden?
Ein Ping ist ja immer ein Rund-Trip.

Poste doch mal die server.conf und die client.conf, natürlich ohne Zertifikate und mit ggf. modifiziertem Server-DynDNS.


Ach ja:
  • Ich würde nicht mit den Netzen 192.168.0.0/24, 192.168.1.0/24, 192.168.100.0/24, 192.168.178.0/24 und 192.168.179.0/24 arbeiten, denn das tut schon jeder Andere.
    Bei Deiner LAN2LAN-Kopplung spielt's noch keine Rolle, aber später für die Road Warriors kann es problematisch werden, wenn Du Dich per VPN ins LAN 192.168.1.0/24 "einwählen" willst, aber am WLAN-Hotspot "schon drin" bist ...

    Die Leute verdrängen ja die Ärgernisse von IPv4 immer, weil man sich dran gewöhnt hat, aber das ist eines davon:
    Weil dabei jeder, oft sogar Firmen, mit demselben überschaubaren Pool "unechter Internet-Adressen" rumhantieren müssen, sind die Konflikte vorprogrammiert.
    192.168.1.0/24 ist und bleibt adressmäßig das selbe Netz, egal ob Du für den Moment mit zwei eigentlich unterschiedlichen davon konfrontiert bist (z.B. zuhause und im Internet-Cafe/Hotel/Flughafen ....).
    Das gilt auch, wenn Deine Netze mit mehreren davon gleichzeitig in Berührung kommen, also selbst wenn Du die 192.168.98.0/24 gewählt hast und damit relativ gute Chancen hast, nicht vom selben Netz aus per VPN verbinden zu wollen, gibt es Ärger, wenn Du vor Ort im LAN 192.168.100.0/24 bist und Dein Router zuhause noch anderen Kontakt mit einem anderen Netz 192.168.100.0/24 hat (z.B. in Form des Kabel-Modems).
  • Warum diese wirren IPs?
    Ich würde IPs im LAN immer etwas sortieren.
    Der Pi mit dem OpenVPN-Server drauf hätte bei mir im LAN die Host-Adresse .2 , .5 , .10 oder so.
Receiver/TV:
  • Vu+ Duo² 4xS2 / OpenATV 5.3@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2 / OpenATV 6.0@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.0
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Mega HD, Brazzers, XXL, HD-, Sky
Fon: VF Komfort-Classic (ISDN), Siemens S79H+S1+Telekom Modula+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2617
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Kleiner IPv6-Workshop

Beitragvon Conan179 » 26.02.2015, 18:52

ok hier ist die server.conf , der server ist nicht bei mir sonern im 2ten netz.
Code: Alles auswählen
port 1194
proto tcp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/myserver.crt
key /etc/openvpn/keys/myserver.key
auth-user-pass-verify /usr/sbin/vpn_check_account via-env
client-cert-not-required
username-as-common-name
no-name-remapping
dh /etc/openvpn/keys/dh1024.pem
server 192.168.4.0 255.255.255.0
ifconfig-pool-persist /var/log/ipp.txt
push "dhcp-option DNS 192.168.2.1"
client-to-client
duplicate-cn
keepalive 10 60
reneg-sec 0
cipher AES-256-CBC
comp-lzo
max-clients 5
client-connect /etc/openvpn/connect.sh
client-disconnect /etc/openvpn/disconnect.sh
management localhost 7505
persist-key
persist-tun
status /var/log/openvpn-status.log
#log /tmp/openvpn.log
verb 3

Der raspby ist der client und die client.ovpn sieht so aus:
Code: Alles auswählen
client
dev tun
script-security 3
proto tcp
remote  lavebrlouefyohzsdvsd.myqnapcloud.com  1194
resolv-retry infinite
nobind
ca qnapca.crt
auth-user-pass qaauth.txt
reneg-sec 0
cipher AES-256-CBC
comp-lzo
route 192.168.2.0 255.255.255.0

ich hab das TAP auf geben und nutzte tun.

Meine ips haben sehr woll eine strucktur.
192.168.1.1 ist die kabelbw fritzbox
1.222 die 7390 wo DNS,DHCP, macht
1.3 und so weiter dan gruppiert, pcs,spielekonsolen,handys,sat receiver. ectpp.
192.168.1.0 ist bei mir zuhause
192.168.2.0 ist bei standort1
192.168.3.0 bei meine nchefs zuhause
192.168.4.0 openvpn der NAS also der server.
192.168.5.0 standtort2
192.168.6.0 Openvpn des Raspby, der mit 6tunnel läut (das hier nicht das problem ist)
192.168.7.0 Netzwerk meiner alten 1und1 box, bis der vertrag zu ende ist.
Wen AVM nur mal in die puschen kämme und das vpn ipv6 tauglich manchen würde, bräuchte ich die ganze openvpn geschichte nicht. :wut: :wut: :wut:
BildBildBild
Conan179
Kabelexperte
 
Beiträge: 119
Registriert: 25.01.2015, 23:38

Re: Kleiner IPv6-Workshop

Beitragvon SpaceRat » 26.02.2015, 19:10

Wenn ich das richtig sehe, dann willst Du von Netzwerk A ein Netzwerk C erreichen, wobei aber der VPN-Server in Netzwerk B steht.
Dann braucht der Client auch alle Routen ...

Also sagen wir 192.168.4.0/24 ist das Netz mit dem OpenVPN-Server und alle anderen LANs von 192.168.0.0/24 bis 192.168.10.0/24 verbinden sich zu diesem, dann braucht jedes so verbundene LAN Routen in alle anderen LANs.
Und ich würde sie vom Server aus pushen ...
Benutzeravatar
SpaceRat
Kabelkopfstation
 
Beiträge: 2617
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen

Re: Kleiner IPv6-Workshop

Beitragvon Conan179 » 26.02.2015, 19:27

Nein, der Server steht im Netzwerk B und ich möchte von Netzwerk A zu Netzwerk B.

die andere netze sind per AVM VPN verbunden, aber das ist eine andere geschichte.

edit: das tun netz vom Raspby hat die 192.168.6.0, was aber an dieser stelle egal ist, weil der Openvpn server die 192.168.4.0 nutzt, der sogar nur tun kan.
BildBildBild
Conan179
Kabelexperte
 
Beiträge: 119
Registriert: 25.01.2015, 23:38

VorherigeNächste

Zurück zu Internet und Telefon über das TV-Kabelnetz

Wer ist online?

Mitglieder in diesem Forum: 0 Mitglieder und 47 Gäste