Kleiner IPv6-Workshop

[Rooby]

Hallo

Ich bräuchte mal eure technische Hilfe.
Ich habe mir den TCP/IP-Workshop - IPv6 und IPv4 reingezogen, bin aber immer noch nicht 100%ig sicher was wie möglich ist. Da ich in den Raum Stuttgart ziehe überlege ich mir einen (kastrierten) Kabel BW Internet Anschluss zu holen. D.h. ich werde vermutlich nur ein DS-lite bekommen da ich die 10Mbit upload möchte. Business mit IPV4 -10Mbit upload ist da viel zu teuer.
Nun zu meinem Problem/Konfig:
Derzeit nutze ich ein modem+Asus Router (VDSL50, RT-AC66U+Asus Merlin Firmware). Der Router meiner Frau und der meiner Eltern (alle gleiche HW aber ADSL und alle nur IPV4) verbinden sich automatisch via OpenVPN mit meine Router und ich kann dann bequem auf alle Geräte (IP Kamera, Solaranlage, NAS, Netzwerksteckdose etc.) zugreifen. Alles wird über OpenVPN getunnelt und hat lokale IPV4 Adressen.
So und jetzt, wenn ich zu Kabel BW und DS-lite wechsle ist die Frage ob ich das überhaupt noch so wieder hinbekomme. Ich bin gerade dabei herauszufinden ob ich hinter meinem Routern alle Geräte generell auf IPV6 umstellen kann. Das muss ich noch klären. Andererseits es bleibt das Problem, dass der internet Anschluss der andren Routern derzeit noch IPV4 haben.
Alle Router möchte ich jedenfalls behalten.
Wie könnte das Setup aussehen damit ich wieder auf mein Geräte und die anderen Router auf meinem OpenVPN Server (im Router) von außen verbinden können. Ich vermute ich brauche einen tunnel provider. Wenn ich ein ubee evw3226 bekomme kann ich dann meinen Router noch irgendwie im routing modus betreiben. Ich möchte den ubee möglichts nur als modem nutzen (brige mode wird ja leider wegkastriert..). Ich trau auch Kabel BW nicht. So wie ich gehört habe, haben die generell remote Zugriff auf den ubee. Deshalb möchte ich alles irgendwie über meinen Router abkapseln.
Vielleicht kann das ja jemand skizzieren wie so ein Setup aussehen könnte oder ob das überhaupt so möglich ist. Konfigurationsdetails kann ich mir selbst erarbeiten. Ich brauche nur eine Übersicht wie so ein Setup aussehen könnte und was man braucht. Ich kann auch auf dem Router Skripte, cron jobs etc laufen lassen um z.B. spezielle DynDNS server zu kontaktieren.
Ich will vermeiden, dass ich dann 2 Jahre lange einen Anschluss habe mit dem ich nicht viel anfangen kann. Und einen Anschluss auf Probe gibts ja leider nicht.

Danke im voraus.

[hajodele]

Ich will vermeiden, dass ich dann 2 Jahre lange einen Anschluss habe mit dem ich nicht viel anfangen kann. Und einen Anschluss auf Probe gibts ja leider nicht.

Indirekt gibt es den schon: "Highspeedversprechen" 2 Monate.

[SpaceRat]

Derzeit nutze ich ein modem+Asus Router (VDSL50, RT-AC66U+Asus Merlin Firmware). Der Router meiner Frau und der meiner Eltern (alle gleiche HW aber ADSL und alle nur IPV4) verbinden sich automatisch via OpenVPN mit meine Router und ich kann dann bequem auf alle Geräte (IP Kamera, Solaranlage, NAS, Netzwerksteckdose etc.) zugreifen. Alles wird über OpenVPN getunnelt und hat lokale IPV4 Adressen.

Das sind soweit fast die perfekten Voraussetzungen.

Theoretisch genügt es, in den fremden Routern 6in4-Tunnel z.B. von Hurricane Electric/Tunnelbroker einzurichten und OpenVPN in den Dual-Stack-Betrieb zu konfigurieren.
Beides ist kein Hexenwerk:

• Eine Anleitung für die Tunneleinrichtung unter AsusWrt gibt es hier
  Merlin sollte da nicht gravierend abweichen.
• OpenVPN umzustellen besteht aus nichts weiter als in den Konfigurationsdateien "tcp-server" bzw. ""tcp-client" in "tcp6-server" bzw. ""tcp6-client" zu ändern (udp geht theoretisch genauso, würde ich aber vermeiden, dazu später mehr).
  Mit diesen Einstellungen steht der Server sowohl per IPv6 als auch per IPv4 zur Verfügung. Clients probieren zuerst IPv6, fallen aber auch auf IPv4 zurück, wenn IPv6 nicht zur Verfügung steht.
  Umgestellt ist damit nur das Trägernetz, innerhalb des VPNs - also bei der Payload - bleibt alles beim Alten.
• Auf dem OpenVPN-Server brauchst Du natürlich auch eine entsprechende Freigabe des OpenVPN-Ports für IPv6, damit das klappt.

Das solltest Du sogar jetzt schon hinkriegen, indem Du auf allen drei Routern einen solchen 6in4-Tunnel einrichtest.

Jetzt kommen die Aber:
In der Theorie ändert sich dann beim Umzug an den KBW-Anschluß nur, daß IPv6 dann nativ zur Verfügung steht ...
In der Praxis bin mir aber nicht sicher, ob der Asus-Router hinter dem Übel EVIL3226 oder TC7200 ein IPv6-Präfix erhalten wird. Sollte er zwar, aber sicher bin ich mir da nicht.
Außerdem kann es sein, daß er zwar ein Präfix erhält, aber Adressen aus dem an den Asus delegierten Präfix nicht von außen erreichbar sind.

In dem Fall wäre ein Wechsel auf einen Router mit OpenWrt (Am besten das neueste "Chaos Calmer") sinnvoll, da OpenWrt auch ein vorhandenes Präfix eines vorgeschalteten Routers mitbenutzen kann (Bei der IPv6-WAN-Verbindung wird dazu alles, also DHCPv6, NDP, ... auf "Relay" gestellt). Der OpenWrt-Router arbeitet dann als reine IPv6-Firewall (und IPv4-Router).

Wie könnte das Setup aussehen damit ich wieder auf mein Geräte und die anderen Router auf meinem OpenVPN Server (im Router) von außen verbinden können.

tcp -> tcp6
oder
udp -> udp6
Das ist im Prinzip alles, sofern Merlin IPv6-fähige OpenVPN-Binaries enthält.

Du solltest tcp verwenden, weil Du das zusätzlich oder alternativ auch über einen Port-Proxy (z.B. http://www.feste-ip.net) per IPv4 bereitstellen kannst (Um z.B. vom IPv4-only Mobilfunk aus in Dein VPN zu kommen). udp kann man so aber nicht proxien.

Ich vermute ich brauche einen tunnel provider.

Wenn in Merlin IPv6-fähige OpenVPN enthalten sind, wäre das die eleganteste Lösung.
Die Clients kriegen dabei gratis noch Dual Stack oben drauf.

Du kannst aber auch das Konstrukt über den Port-Proxy wählen:

• Du stellst den Server per IPv6 bereit und suchst Dir einen möglichst abwegigen Port aus.
• Für den Server legst Du einen IPv6-DynDNS-Hostname an, z.B. ipv6.rooby.chickenkiller.com bei FreeDNS.
• Dann legst Du auf http://www.feste-ip.net einen Port-Mapper an, der auf besagten Port von ipv6.rooby.chickenkiller.com weiterleitet.
  Dadurch erhältst Du einen Hostname a la rooby.feste-ip.net auf dem man unter - im Idealfall - demselben Port Deinen OpenVPN-Server auch per IPv4 erreichen kann.
  Der Port-Mapper nimmt IPv4-Verbindungen an und leitet sie per IPv6 an den angegebenen Port auf dem angegebenen IPv6-Server weiter.
  Deshalb sollte der Port auch möglichst abwegig gewählt sein, damit ihn nicht schon jemand anderes nutzt und Du einen 1:1 Port-Mapper (= Selber Port auf rooby.feste-ip.net wie auf ipv6.rooby.chickenkiller.com) bekommst.
  Notfalls versuchst Du verschiedene Port-Nummern, bis Du einen oder mehrere 1:1-Mapper hast und paßt dann Deinen OpenVPN-Port darauf an.

Jetzt kommt der Clou:
Nun löst Du einfach den Hostname rooby.feste-ip.net auf eine IPv4-Adresse auf und legst Dir einen eigenen DynDNS-Host ipv4.rooby.chickenkiller.com mit dieser IP an. Da sich diese nicht ändert, braucht dieser Host nicht aktualisiert zu werden.
Dann legst Du einen Host rooby.chickenkiller.com als A-Record mit wieder dieser IPv4 an und noch einmal denselben Host rooby.chickenkiller.com als AAAA-Record mit Deiner aktuellen IPv6.
Aktualisieren mußt Du danach nur ipv6.rooby.chickenkiller.com und den AAAA-Record für rooby.chickenkiller.com.

Im Ergebnis hast Du einen DynDNS-Hostname rooby.chickenkiller.com, der - für die gemappten Ports - von IPv6-only-, IPv4-only- und Dual-Stack-Clients aus gleichermaßen nutzbar ist, ganz so als hättest Du selber auch Dual Stack.
Mittels ipv6.rooby.chickenkiller.com bzw. ipv4.rooby.chickenkiller.com hast Du zusätzlich noch die Möglichkeit, das eine oder das andere Protokoll zu erzwingen.

Im Ergebnis funktioniert dann ein OpenVPN-Client-Profil mit diesen Einstellungen:

Code: Alles auswählen

proto tcp6-client
remote rooby.chickenkiller.com 64279

aus allen Netzen.
IPv6-fähige Clients nutzen IPv6, IPv4-only-Clients IPv4.

Und einen Anschluss auf Probe gibts ja leider nicht.

Es gab da mal einen Monat Rücktrittsrecht, wenn man nicht zufrieden ist.

[Rooby]

Hallo SpaceRat

man das war aber ein schnelle super Antwort. Vielen Dank!!
Ich muss das alles erstmal sacken lassen. Ich hab zwar dein tutorial gelesen aber ich denke ich muss da nochmal durch um deine Antwort im Detail zu verstehen.
Aber ich nehme mal an das das im Prinzip funktionieren sollte. D.h. ich werde noch etwas brauchen bis ich alles verstanden habe. Könnte ich ich dich dann nochmal direkt kontaktieren falls doch noch Detailfragen offen sind.
D.h. eine habe ich noch. Mein OpenVPN habe ich so konfiguriert, dass auch die clients untereinander kommunizieren.
Ich habe aber nie verstanden wie das geroutet wird. Geht das alles über den server oder kommuniziere die clients dann untereinander?
Geht das dann trotzdem noch? Das ist wichtig, damit ich auch von überall nach überall zugreifen kann.

[SpaceRat]

man das war aber ein schnelle super Antwort. Vielen Dank!!

Büdde.

Aber ich nehme mal an das das im Prinzip funktionieren sollte.

Auf jeden Fall.
Der Betrieb von (anständigen) Servern über IPv6 ist überhaupt kein Problem.

Du solltest Dir lieber Sorgen um die anderen Probleme im IPv4-Betrieb machen:
Kein Senden von E-Mails mit Anhang möglich (TC7200)
Uploadfehler u. Timeout

D.h. ich werde noch etwas brauchen bis ich alles verstanden habe. Könnte ich ich dich dann nochmal direkt kontaktieren falls doch noch Detailfragen offen sind.

Detailfragen immer.

D.h. eine habe ich noch. Mein OpenVPN habe ich so konfiguriert, dass auch die clients untereinander kommunizieren.
Ich habe aber nie verstanden wie das geroutet wird. Geht das alles über den server oder kommuniziere die clients dann untereinander?
Geht das dann trotzdem noch? Das ist wichtig, damit ich auch von überall nach überall zugreifen kann.

Innerhalb des VPN ändert sich dadurch wie es äußerlich aufgebaut wird nix.

Im Fernsehen kommt auch immer derselbe Sch31ß, egal ob Du per DVB-S, DVB-T, DVB-C oder IPTV guckst:
"Asis im Brennpunkt", "Der Bätschler" und das "ZZZ-Promi-Camp" kommen da so oder so.

[Rooby]

ok danke nochmal für die Tipps.
Ich muss jetzt erstmal Hausaufgaben machen und mich selbst auf IPV6 upgraden um alles nochmal im Detail zu verstehen.
Und werde mal versuchen OpenVPN schon vorab auf dual stack umzukonfigurieren falls OpenVPN im Router IPV6-fähig ist.
Ich vermute ich werd mich dann in ein paar Tagen nochmal melden.

[Conan179]

@SpaceRat
ich hab da eine winzig kleine frage, zur deiner supper anleitung, wen ich stats feste-ip.net meinen root server nutzten möchte, wie muss ich das machen? er ha feste ipv4undv6.

[Rooby]

@SpaceRat
Ich habe auch gleich noch eine Frage.
Wie verhält sich das mit dem IPV4 fallback.
Da ich clients habe die nur IPV4 können, bekommen die dann automatisch auch eine IPV4 Adresse vom Router DHCP?
Aber Portweiterleitung geht doch nicht. GIbt es dann eine Lösung?
Gibt es ein mapping von einer IPV6 adresse für den client auf IPV4?
Wenn ich den client nur über OpenVPN über lokale IPV4 anspreche kann ich das dann weitehin wie zuvor mit IPV4+port machen?

[SpaceRat]

@SpaceRat
ich hab da eine winzig kleine frage, zur deiner supper anleitung, wen ich stats feste-ip.net meinen root server nutzten möchte, wie muss ich das machen? er ha feste ipv4undv6.

Dann machst Du es im Prinzip ganz genauso, nur daß Du keine Port-Mapper bei feste-ip.net einrichtest, sondern für jeden weiterzuleitenden Port einmal 6tunnel auf dem Root-Server startest:

Code: Alles auswählen

apt-get install 6tunnel

(Ich hoffe mal für Dich, daß der mit Debian läuft)

und dann

Code: Alles auswählen

6tunnel <Port> <IPv6-Adresse zuhause> <Port>

also z.B.

Code: Alles auswählen

6tunnel 65123 ipv6.conan.chickenkiller.com 65123

um Port 65123 auf dem Root-Server per IPv4 anzunehmen und per IPv6 an den heimischen Rechner mit der Adresse ipv6.conan.chickenkiller.com auf Port 65123 weiterzuleiten.

Um das nicht bei jedem Neustart des Servers neu eingeben zu müssen, kannst Du es auch in die /etc/rc.local eintragen.
Einfach vor "exit 0" für jeden Port eine der o.g. Zeilen einfügen, dann aber mit " &" abschließen", also

Code: Alles auswählen

...
6tunnel 65123 ipv6.conan.chickenkiller.com 65123 &
6tunnel 45123 ipv6.barbar.chickenkiller.com 45123 &
...
... usw. ...
exit 0

[SpaceRat]

Wie verhält sich das mit dem IPV4 fallback.
Da ich clients habe die nur IPV4 können, bekommen die dann automatisch auch eine IPV4 Adresse vom Router DHCP?

Innerhalb des LAN hast Du weiterhin auch IPv4.

Aber Portweiterleitung geht doch nicht. GIbt es dann eine Lösung?
Gibt es ein mapping von einer IPV6 adresse für den client auf IPV4?

Die selbe Art von Proxy wie ich sie eben für den eigenen Root-Server beschrieben habe, kann man auch auf irgendeinem lokalen Linux-Rechner einrichten, dann einfach nur umgekehrt:

Code: Alles auswählen

6tunnel -4 -6 65123 192.168.111.50 65123

würde auf diesem Linux-Rechner IPv6-Verbindungen auf Port 65123 annehmen und per IP4 an den lokal vorhandenen Client 192.168.111.50 auf Port 65123 weiterleiten.

Statt des eigentlichen Ziels (z.B. eine ranzige IP-Cam) gibst Du dann für die Außenwelt diesen Linux-Rechner (z.B. Dein NAS) frei und erst der vermittelt dann zwischen IPv6 und IPv4.
Wenn Du nix dergleichen im LAN hast, kannst Du einen Raspberry Pi für diesen Zweck umrüsten.

Wenn ich den client nur über OpenVPN über lokale IPV4 anspreche kann ich das dann weitehin wie zuvor mit IPV4+port machen?

Nochmal:
Innerhalb des VPN ändert sich dadurch wie es äußerlich aufgebaut wird nix.

[Rooby]

Wenn Du nix dergleichen im LAN hast, kannst Du einen Raspberry Pi für diesen Zweck umrüsten.

Lässt sich dieser Tunnel nicht gleich auf dem Router per script einrichten.

[SpaceRat]

Wenn Du nix dergleichen im LAN hast, kannst Du einen Raspberry Pi für diesen Zweck umrüsten.

Lässt sich dieser Tunnel nicht gleich auf dem Router per script einrichten.

Je nach Router schon.

OpenWrt z.B. bringt dazu ab Chaos Calmer "tcpproxy" mit, zuvor 6tunnel.

[Conan179]

@SpaceRat
SUPER, so was suche ich shcon seid ich bei kabelbw bin.

Eine frage noch, was ist ein A-Recort und ein AAAA-Recort?
Der server hat kein debian drauf, dafür aber Ubuntu

Edit:
Verstehe ich das so richtig.
Meinem server verpasse ich die dyndns addresse:
oserver.conan.dyndns.de
und dan für den server eine reine ipv4 addresse:
ipv4.oserver.conan.dyndns.de
mit der ipv4 addresse des Servers und eine reine ipv6 addresse:
ipv6.oserver.conan.dyndns.de

verstehe ich das bis dahin richtig?

[SpaceRat]

Eine frage noch, was ist ein A-Recort und ein AAAA-Recort?

Im DNS-System
- ist ein A-Record die Zuordnung einer IPv4-Adresse zu einem (Host-)Name und
- ein AAAA-Record die Zuordnung einer IPv6-Adresse zu einem (Host-)Name.

Um das zu komplettieren:
- Ein CNAME ist die Zuordnung eines alternativen Namens (Alias) für einen anderen (Host-)Name.

Vor diesem Hintergrund meldet uns ein Aufruf von host oder nslookup genau dies zurück:

C:\>nslookup http://www.facebook.com
...
Name: star.c10r.facebook.com
Addresses: 2a03:2880:f01c:2:face:b00c:0:1
31.13.93.3
Aliases: www.facebook.com

= (Eigentlicher) Host-Name, AAAA-Record, A-Record, Alias(se) bzw. CNAME(s)

Der server hat kein debian drauf, dafür aber Ubuntu

Bäh.
Kommt aber bzgl.

Code: Alles auswählen

apt-get install 6tunnel

für die Installation von 6tunnel auf's Selbe raus.

Meinem server verpasse ich die dyndns addresse:
oserver.conan.dyndns.de
und dan für den server eine reine ipv4 addresse:
ipv4.oserver.conan.dyndns.de
mit der ipv4 addresse des Servers und eine reine ipv6 addresse:
ipv6.oserver.conan.dyndns.de

verstehe ich das bis dahin richtig?

Das hast Du richtig verstanden.
Pflicht ist das so natürlich nicht, nur ein (sinnvoller) Vorschlag.

Ziel ist ja ...

• Ein Hostname ohne Angabe des Protokolls drin, z.B. oserver.conan.dyndns.de (Mit A- und AAAA-Records)
  ... wäre dabei der "everyday use"-Hostname für Deinen Server.
  Unter dieser Adresse erreicht jeder korrekt konfigurierte Client diesen Server, egal ob er auch IPv6 oder nur IPv4 hat:
  Ein IPv6-Client nutzt bevorzugt den AAAA-Record und ein IPv4-Client nur den A-Record.

... also genau wie bei Facebook (s.o.).

Die anderen beiden braucht man nicht zwingend, aber ich halte sie für sinnvoll:

• Ein Hostname nur für IPv6, z.B. ipv6.oserver.conan.dyndns.de (Nur mit AAAA-Record)
  Dieser Hostname stellt z.B. - wenn Du ihn nutzt - sicher, daß es zu keiner Schleife beim Proxien von IPv4 auf IPv6 kommt.
  
  Ein Beispiel:

  Code: Alles auswählen

  6tunnel 443 oserver.conan.dyndns.de 443

  würde genauso als 4-to-6 Proxy funktionieren, aber es führt zumindest vom Bild her zu einer möglichen Schleife, da ja unter oserver.conan.dyndns.de auch die IPv4 des Systems hinterlegt ist, auf dem dieser 6tunnel läuft.
  Ich weiß nicht, ob es bei Ausfall der IPv6-Verbindung auf dem Proxy sogar tatsächlich zu einer solchen Schleife käme, spätestens aber bei Verwendung des Schalters -4 hast Du sie.
  
  Schreibst Du hingegen

  Code: Alles auswählen

  6tunnel 443 ipv6.oserver.conan.dyndns.de 443

  , dann ist schon beim ersten Blick klar, wohin dieser Tunnel führen soll.
  Bei Verwendung des Schalters -4 funktioniert dieser 6tunnel dann gar nicht mehr und ein klares Fehlerbild ist immer besser als diffuses Fehlverhalten.
• Ein Hostname nur für IPv4, z.B. ipv4.oserver.conan.dyndns.de (Nur mit A-Record)
  Wie oben beschrieben täte es für korrekt konfigurierte IPv4-only-Clients eigentlich auch der allgemeine Hostname oserver.conan.dyndns.de.
  
  Es gibt aber Fälle von fehlkonfigurierten Clients und Client-Netzen. So ist z.B. in OpenWrt werksseitig ein ULA-Präfix vorkonfiguriert, d.h. innerhalb des LAN hast Du hinter einem OpenWrt-Router immer IPv6, selbst wenn keine IPv6-fähige Internetverbindung eingerichtet ist.
  Je nachdem wie ein Client-Programm nun damit umgeht (Betrachtet es ULAs überhaupt als funktionierende IPv6-Anbindung? Fällt er auch bei "no route to host"/"Zielnetzwerk nicht erreichbar" auf IPv4 zurück?) kann es in diesem Fall zu Verzögerungen oder gar dem kompletten Scheitern des Verbindungsaufbaus kommen, wenn für den Server auch eine IPv6/AAAA-Record hinterlegt ist.
  Da ist es praktisch, wenn man durch einfaches Voranstellen von "ipv4." einen Verbindungsaufbau über IPv4 erzwingen kann.
  
  Den umgekehrten Fall gibt es dank Unitymedia übrigens auch:
  Die Schrottrouter TC7200 und Co. können auch mal die Verbindung zum AFTR-Gateway verlieren, dann ist das LAN dahinter "IPv6-only". Da die Clients aber weiterhin ihre privaten IPv4-Adressen kriegen, merken sie davon nix.
  Normal fällt das nicht weiter auf, da IPv6-fähige Clients eh IPv6 bevorzugen, aber wenn z.B. ausgerechnet zu diesem Zeitpunkt das Präfix des Servers wechselt, zeigt der AAAA-Record ja kurzfristig noch auf die alte Adresse, womit der Server für den Moment auch per IPv6 unerreichbar wird. Ein fehlerhafter Client könnte sich in dieser Situation auf die IPv4-Adresse des Servers einschießen ...

Aus den vorgenannten Gründen halte ich das zusätzliche Anlegen von protokollspezifischen DynDNSen für sinnvoll und sei es nur, um im Zweifelsfall einen gezielten Versuch damit machen zu können.

[SpaceRat]

Nachtrag

Warum ich die CNAMEs ins Spiel gebracht habe:
Je nach DynDNS-Anbieter kann man auch CNAMEs definieren (Nicht mit Webhop Redirects zu verwechseln!), z.B. bei FreeDNS.

Anstatt die IPs direkt zu hinterlegen, kann man dann auch mit CNAMEs arbeiten:

• ipv4.oserver.conan.dyndns.de wäre dann z.B. ein CNAME für den Hostname, den man bei feste-ip.net erhält, z.B. conan.feste-ip.net
  Da ipv4.oserver.conan.dyndns.de dann nur ein Alias für conan.feste-ip.net ist, wird im Endeffekt conan.feste-ip.net nachgeschlagen, so daß dieser Eintrag immer paßt, selbst wenn conan.feste-ip.net mal den Server wechseln sollte.
• Bei Verwendung einer Fritz!Box am DS-lite-Anschluß kann man ipv6.oserver.conan.dyndns.de als CNAME für den kryptischen MyFritz-Namen nehmen, den eine MyFritz-Freigabe erzeugt, also z.B. oserver.rghdiohndiufhndifubn.myfritz.net
  Da Fritz!Boxen diese kryptischen Hostname selber mit der aktuellen IPv6 pflegen (Daß die Fritz!Box keine öffentliche IPv4 hat merkt sie selber und macht dann keine A-Record-Updates!) und der merkbarere Hostname ipv6.oserver.conan.dyndns.de ja nur ein Alias dafür ist, braucht man in diesem Fall nicht mehr selber für DynDNS-Updates des IPv6-Hosts sorgen.
• Bei Verwendung einer Fritz!Box am Dual-Stack-Anschluß kann man oserver.conan.dyndns.de als CNAME für den kryptischen MyFritz-Namen nehmen, den eine MyFritz-Freigabe erzeugt, also z.B. oserver.rghdiohndiufhndifubn.myfritz.net
  Da Fritz!Boxen diese kryptischen Hostname selber mit den aktuellen IPv4- und IPv6-Adressen pflegen und der merkbarere Hostname oserver.conan.dyndns.de ja nur ein Alias dafür ist, braucht man in diesem Fall nicht mehr selber für DynDNS-Updates des Dual-Stack-Hosts sorgen.

[Conan179]

@SpaceRat
DAfür die erklärung der a-record und aaaa-record.

Darauf wollte ich hinaus, das der befhel unter ubuntu auch geht

Jetzt stellt sich mir nur noch die frage, wie vom server, zu mir nach hause komme, wo ich die dynamische ipv6 habe.

[SpaceRat]

Jetzt stellt sich mir nur noch die frage, wie vom server, zu mir nach hause komme, wo ich die dynamische ipv6 habe.

Das habe ich doch oben implizit mit erwähnt.

Für einen https-Server auf ipv6.oserver.conan.dyndns.de würdest Du z.B. auf Deinem Root-Server (Wenn da nicht auch ein https-Server läuft) eingeben:

Code: Alles auswählen

6tunnel 443 ipv6.oserver.conan.dyndns.de 443

Dem DynDNS-Host ipv4.oserver.conan.dyndns.de weist Du dauerhaft die IPv4 Deines Root-Servers zu, dem A-Record für oserver.conan.dyndns.de ebenfalls.
Die DynDNS-Hosts ipv6.oserver.conan.dyndns.de und den AAAA-Record für oserver.conan.dyndns.de aktualisierst Du vom eigentlichen Server aus mit der jeweils aktuellen IPv6.

Folge:
Zugriffe per IPv4 gehen auf Deinen Root-Server von wo sie mittels 6tunnel per IPv6 an Deinen Server zuhause 'proxied' werden.
Zugriffe per IPv6 hingegen gehen direkt auf Deinen Server zuhause.

[Conan179]

ich glaube ich vrestehe was falsch.

ich hab momentan im kopf das alle drei
*.oserver.conan.dyndns.de
addresse auf meinen server zeigen.

ich sag mal zuhause hab ich momentan
oserver.zuhause.dyndns.de
also
ipv4.oserver.conan.dyndns.de
bekommt nur die ipv4 des servers.
und der server legt den ipv4 port per 6tunnel auf den ipv6 port vom
oserver.zuhause.dyndns.de

endschuldigung, das ich dich damit so nerve

[Conan179]

wen ich den port per 6tunnel weite gebe, horcht der server auf dem port nur noch auf die ipv6 oder auch wen ich per ipv4 drauf zugreife?

[SpaceRat]

ich hab momentan im kopf das alle drei
*.oserver.conan.dyndns.de
addresse auf meinen server zeigen.

Tun sie ja auch ... für IPv4 halt indirekt.

ich sag mal zuhause hab ich momentan
oserver.zuhause.dyndns.de
also
ipv4.oserver.conan.dyndns.de
bekommt nur die ipv4 des servers.

Richtig.
Eine andere (öffentlich erreichbare) IPv4 hast Du ja nicht ...

und der server legt den ipv4 port per 6tunnel auf den ipv6 port vom
oserver.zuhause.dyndns.de

Genau.

wen ich den port per 6tunnel weite gebe, horcht der server auf dem port nur noch auf die ipv6 oder auch wen ich per ipv4 drauf zugreife?

???
Dein Server zuhause lauscht auf was auch immer Du ihn einrichtest. Nur kommt ja von außen nix per IPv4 bei ihm an.
Dein Server im Netz/vServer lauscht per IPv4 und leitet per IPv6 an den Server zuhause weiter.

[Conan179]

mit "dem server", meine ich nicht, zuhause der dslite anschluss sondern, der root server, wo den 6tunnel aufbaut.

[SpaceRat]

mit "dem server", meine ich nicht, zuhause der dslite anschluss sondern, der root server, wo den 6tunnel aufbaut.

Ich habe "Server zuhause" und Root-Server/vServer in meinen Erklärungen jeweils eindeutig benannt, da mir die Verwechselbarkeit schon bewußt ist.

[Conan179]

das glaub ich dir, aber irgendwo habe ich noch einen knoten im gehirn.

diese 3 addressen
ipv4.oserver.conan.dyndns.de (ipv4 des root servers)
ipv6.oserver.conan.dyndns.de (ipv6 des root servers)
oserver.conan.dyndns.de (ipc4&ipv6 des root servers)

gehen auf den root server.
die fritzbox zuhause hat:
ofritzbox.conan.dyndns.de

hab ich an dieser stelle einen denkfehler?

[SpaceRat]

das glaub ich dir, aber irgendwo habe ich noch einen knoten im gehirn.

Alle A-Records zeigen auf den vServer (bzw. feste-ip.net), da der Server zuhause keine eigene öffentliche IPv4 hat.
Alle AAAA-Records zeigen direkt auf den Server zuhause, da er per IPv6 erreichbar ist, ist ein Umweg für IPv6-Zugriffe unnötig.

[Conan179]

achso, jetzt verstehe ich das, endschuldigung.

jetzt kümmere ich mich um den openvpn server, der auf meinem raspberry ist, wen das nicht geht muss meine 7390 herhalten.