Kleiner IPv6-Workshop

In vielen Netzen von Unitymedia sind Internet und Telefonie bereits verfügbar.
Forumsregeln
  • Kunden aus Hessen und Nordrhein-Westfalen können über die Rufnummer 0221 / 466 191 00 Hilfe bei allen Problemen in Anspruch nehmen.
  • Kunden aus Baden-Württemberg können über die Rufnummer 0711 / 54 888 150 Hilfe bei allen Problemen in Anspruch nehmen.
Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 22.02.2015, 11:11

Rooby hat geschrieben:Also im Router1 steht unter system log-IPV6 bei der
WAN IPv6 Address /64 hinten
LAN IPV6 Address /56 hinten.

Im Router2 steht unter system log-IPV6 bei der
WAN IPv6 Address /64 hinten
LAN IPV6 Address steht nur /0
Entweder delegiert Router 1 kein Präfix an Router 2
oder
Router 2 fordert erst gar keines bei Router 1 an
oder
beides.
Rooby hat geschrieben:D.h. da sollte der Router2 der ja am LAN /56 des Routers1 hängt doch ein /64 prefix bekommen können?
Ja. Minimum.

Es gibt bei IPv6 keinen Grund zum Knausern:
Router 2 sollte ein /62 bei Router 1 anfordern und Router 1 sollte dieses Router 2 dann auch gewähren.
Damit hätte Router 2 vier /64er Subnetze zur Verfügung, z.B. eines für LAN, eines für's Gastnetz und zwei in Reserve.

Rooby hat geschrieben:Wie ist das eigentlich mit dem TC7220 bzw dem EVW3226 können die den Prefix delegieren?
Ich habe schon einen TC7200 ein Präfix an einen OpenWrt-Router delegieren sehen, also ja.

Rooby hat geschrieben:Mir ist noch aufgefallen, dass die WAN IPV6 und die LAN IPV6 nur die ersten beiden Blöcke gleich sind und der dritte nur teilweise.
D.h. deren prefixes sind nicht mal in den ersten 48bit gleich, ich vermute 40bit. Ist das normal?
Ich hätte jetzt gedacht, dass vielleicht die ersten 56 oder 48 bit gleich sind.
Es gibt mehrere Varianten des Adressbezugs auch für den Router:
SLAAC, DHCPv6 und Ableitung aus dem ersten Subnet des gelernten Präfixes.

Wenn der Provider-Router ein Subnet advertised, dann bildet der Kundenrouter darin seine eigene WAN-IPv6 mittels SLAAC selbständig (SLAAC = Stateless Address Auto-Configuration, also zustandslose Adress-Auto-Konfiguration).
Zu erkennen ist das daran, daß die WAN-IPv6 mit der aus der MAC des Routers gebildeten modifizierten EUI-64 endet.
Dieser Adressbezug ist identisch zu dem von Clients im eigenen LAN, sofern dort SLAAC benutzt wird, was die Regel ist.
Das dabei verwendete Subnet ist logischerweise nicht Bestandteil des Präfixes welches der Provider-Router zusätzlich an den Kunden-Router delegiert, denn es ist ja schon in Benutzung.

DHCPv6 funktioniert annähernd genauso, nur daß der Kunden-Router die Adresse per DHCPv6 (also stateful) erhält.
Häufig endet die WAN-IPv6 des Kunden-Routers dabei auf ::2 und der Provider-Router agiert als ::1 im selben Subnet als Gateway.
Meines Wissens erfolgt die Adressvergabe auch bei Unitymedia so.
Auch hier gilt wieder: Das Subnet innerhalb dessen die DHCPv6-Adressvergabe erfolgt kann nicht gleichzeitig auch an den Kunden-Router delegiert werden.

Erhält der Router vom Provider weder ein advertisement noch eine IPv6 per DHCPv6 zugewiesen, wohl aber ein Präfix delegiert, dann konfiguriert er sich selbständig auf eine IPv6 innerhalb des ersten /64er Subnets des delegierten Präfixes.
Er wird dann i.d.R. für's LAN erst das zweite /64er Subnet verwenden.
Vermutlich ist das der Grund, wieso die Fritz!Boxen ein /62er anfordern: 1. Subnet für die WAN-IPv6 falls nötig, 2. Subnet für's LAN, 3. Subnet für's Gast-Netz.

Eigentlich müßtest Du alle drei Möglichkeiten mit Deinen zwei Routern nachstellen können, indem Du im ersten Router die Adressvergabe per DHCPv6 und/oder SLAAC ausstellst, aber PD aktiv läßt.

Rooby
Kabelneuling
Beiträge: 17
Registriert: 17.02.2015, 22:40

Re: Kleiner IPv6-Workshop

Beitrag von Rooby » 22.02.2015, 15:53

ok danke für die ausführliche Beschreibung.
In meinem Fall denke ich Router 1 deligiert kein Präfix an Router 2.
Sonst würde ja Router 2 (mit WAN gesetzt auf automatic IP) generell mit IPV6 gar nicht funktionieren.
Ich habe mich mal mit dem Router config auseinander gesetzt und Merlin biete ja prima Möglichkeiten .conf files zu ersetzen oder zu ergänzen.
Ich vermute mal dass der Dienst dnsmasq für da RA zuständig ist.
Hier ist ein Auszug des dnsmasq.conf file von Router1:

...
ra-param=br0,10,600
enable-ra
quiet-ra
dhcp-range=lan,::,constructor:br0,ra-stateless,64,600
dhcp-option=lan,option6:23,[::]
dhcp-option=lan,option6:24,Absturz
dhcp-lease-max=253
dhcp-authoritative
read-ethers
addn-hosts=/etc/hosts.dnsmasq
interface=tun21

Ich vermute in der Zeile
dhcp-range=lan,::,constructor:br0,ra-stateless,64,600
heist die 64 das es nur /64 prefixe an die clients gibt .

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 22.02.2015, 17:01

dnsmasq macht gar keine Prefix Delegation.
Als DHCPv6-Server muß also dhcpd o.ä. verwendet werden.

Conan179
Übergeordneter Verstärkerpunkt
Beiträge: 582
Registriert: 25.01.2015, 22:38

Re: Kleiner IPv6-Workshop

Beitrag von Conan179 » 22.02.2015, 17:43

@SpaceRat ich hab da noch eine frage zu "6tunnel" gibt es ein befehl wo mir anzeigt, welche 6tunnel momentan gibt und wie ich die den löschen kann?
BildBildBild

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 22.02.2015, 17:56

Conan179 hat geschrieben:@SpaceRat ich hab da noch eine frage zu "6tunnel" gibt es ein befehl wo mir anzeigt, welche 6tunnel momentan gibt und wie ich die den löschen kann?
Nicht wirklich.

Du kannst so gesehen nur mittels

Code: Alles auswählen

ps | grep 6tunnel
bzw. ggf.

Code: Alles auswählen

ps -Af | grep 6tunnel
alle laufenden 6tunnel anzeigen lassen und hoffen, daß Du genug von den Start-Parametern siehst, um den richtigen Prozess zu erkennen.

Den kannst Du dann mit

Code: Alles auswählen

kill <soeben ermittelte PID>
abschießen.

Wenn Du das regelmäßiger machst, dann wäre es ggf. sinnvoll, die PID bereits beim Start zu erfassen.

Hier mal ein Beispiel für zwei 6tunnel-Instanzen:

Code: Alles auswählen

6tunnel 80 ipv6.meinserver.dyndns.org 80
echo $! >/var/run/4to6-http.pid
6tunnel 443 ipv6.meinserver.dyndns.org 443
echo $! >/var/run/4to6-https.pid
Dann könntest Du mit

Code: Alles auswählen

kill $(cat /var/run/4to6-http.pid)
gezielt den 6tunnel abschießen, der für den http-Port 80 gestartet wurde ...

Man kann das mit Sicherheit auch eleganter scripten, aber andererseits macht man das alles in der Regel sowieso nur ein einziges Mal.

Conan179
Übergeordneter Verstärkerpunkt
Beiträge: 582
Registriert: 25.01.2015, 22:38

Re: Kleiner IPv6-Workshop

Beitrag von Conan179 » 22.02.2015, 18:01

Ich bin momentan noch am rum probieren, wen alles so läuft wie es soll, beende ich keinen 6tunnel mehr.
momentan starte ich den server neu, so waren alle 6tunnel weg.
Ich danke dirund zwar zeigt mir mein server an:

Code: Alles auswählen

root@Xubuntu-1404-64bitxxx ~ # ps -Af | grep 6tunnel
root      1996  1973  0 17:57 pts/12   00:00:00 grep --color=auto 6tunnel
root     19942     1  0 17:21 ?        00:00:00 6tunnel 11798 tab.dyndns.org 11798
root     23495     1  0 17:30 ?        00:00:00 6tunnel 17189 tab.dyndns.org 17189
kill 19942 und kill 23495 und die tunnel werden nicht mehr angezeigt.
BildBildBild

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 22.02.2015, 18:06

Conan179 hat geschrieben:Ich bin momentan noch am rum probieren, wen alles so läuft wie es soll, beende ich keinen 6tunnel mehr.
momentan starte ich den server neu, so waren alle 6tunnel weg.

Code: Alles auswählen

killall 6tunnel
würde es auch tun.

Conan179
Übergeordneter Verstärkerpunkt
Beiträge: 582
Registriert: 25.01.2015, 22:38

Re: Kleiner IPv6-Workshop

Beitrag von Conan179 » 22.02.2015, 18:09

ok, danke.
BildBildBild

Rooby
Kabelneuling
Beiträge: 17
Registriert: 17.02.2015, 22:40

Re: Kleiner IPv6-Workshop

Beitrag von Rooby » 22.02.2015, 21:34

Hallo SpaceRat,
danke nochmal für deine vorherigen Erleuterungen.
Aber nachdem ich mich in den letzten Tagen intensiv mit dem Kabel BW Zugang (IPV6+DS-light + Kastratrouter/Firitzbox) und nachgeschaltetem privatem Router (routing mode nicht AP) beschäftigt habe sieht es so doch wohl so aus als ob das nur mit einem Openwrt relay Trick wirklich geht.
Ich habe keinen belastbaren post gefunden wo jemand bei so einem Anschluss (DS-light + Kastraten-HW) von außen auf seine clients an seinem nachgeschaltetem Router zuzugreifen kann.
Entweder ist ein reines Modem oder doch ein alter IPV4 im Spiel oder derjenige konnte auf seinen alten Anschluss zurückgehen oder ist zu Business gewechselt.
Eigentlich will ich nur eine OpenVPN Tunnel um dann darin zu konfigurieren was ich will.

Conan179
Übergeordneter Verstärkerpunkt
Beiträge: 582
Registriert: 25.01.2015, 22:38

Re: Kleiner IPv6-Workshop

Beitrag von Conan179 » 23.02.2015, 17:12

@SpaceRat
Ich möchte 2 netzte mit raspberrys die openvpn beherschen verbinden, das mit de m6tunnel klappt inzwischen sehr gut.
Meine Frage, was ich wählen, tap oder tun?
Im grunde baue ich das avm vpn nach, also ich möchte von jedem pc aus, im andewren netz zugreifen können.
BildBildBild

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 23.02.2015, 20:04

Conan179 hat geschrieben:Meine Frage, was ich wählen, tap oder tun?
Im grunde baue ich das avm vpn nach, also ich möchte von jedem pc aus, im andewren netz zugreifen können.
Ich tendiere zu tap.

Aber bedenke:
Für die "Road Warriors" (Also einzelne PCs, Smartphones, usw.) brauchst Du dann einen zweiten OpenVPN-Server, da "OpenVPN Connect" kein tap kann, zumindest nicht auf Android.

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 23.02.2015, 20:06

Rooby hat geschrieben:sieht es so doch wohl so aus als ob das nur mit einem Openwrt relay Trick wirklich geht.
Das geht garantiert.
Rooby hat geschrieben:Ich habe keinen belastbaren post gefunden wo jemand bei so einem Anschluss (DS-light + Kastraten-HW) von außen auf seine clients an seinem nachgeschaltetem Router zuzugreifen kann.
Doch, ich habe schon per ssh auf einen solchen Router zugegriffen.
Es war zwar auch ein OpenWrt-Router, aber es war definitiv ein delegiertes Präfix und nicht das 'relayed' Präfix des TC7200.

Conan179
Übergeordneter Verstärkerpunkt
Beiträge: 582
Registriert: 25.01.2015, 22:38

Re: Kleiner IPv6-Workshop

Beitrag von Conan179 » 23.02.2015, 20:08

also muss ich beide raspbis auf tap stellen?
ich hofte das nur einen auf tap server und der andere tap client und tun server für mein handy/tab macht.
BildBildBild

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 24.02.2015, 20:09

Conan179 hat geschrieben:also muss ich beide raspbis auf tap stellen?
ich hofte das nur einen auf tap server und der andere tap client und tun server für mein handy/tab macht.
Ein Mischbetrieb mit dem Server auf tap und dem Client auf tun oder umgekehrt ist wohl nicht vorgesehen.

Du kannst aber problemlos zwei OpenVPN-Instanzen parallel laufen lassen.

adn77
Kabelneuling
Beiträge: 10
Registriert: 15.05.2014, 19:17

Re: Kleiner IPv6-Workshop

Beitrag von adn77 » 24.02.2015, 22:46

Ich lese auch schon seit über einem Jahr hier fleißig mit und habe mich endlos über die miserable Technik von KabelBW (TC7200) geärgert.
Seit einem guten Monat nutze ich die Lösung, die hier beschrieben ist:
http://www.unitymediakabelbwforum.de/vi ... hp?t=29597

Da der TC7200 wirklich kein Präfix delegiert kann es meines Erachtens nicht funktionieren, einen OpenWRT Router als Router dazwischenzuschalten - dafür müsste man das abgeleitete Präfix ja irgendwie in die Routingtabelle des TC7200 "advertisen".

Beim obigen Trick funktioniert der OpenWRT Router quasi als Bridged-Firewall für IPv6.

Ich erreiche meine internen Geräte nun problemlos per IPv6 DynDNS Adresse.
Für IPv4 Geräte zeigt der DynDNS Eintrag auf einen DualStack Server, der per Apache Reverse-Proxy (via IPv6) auf meinen internen Server weiterleitet.
Durch die saubere Konfiguration sind nun sogar eingehende SIP VoIP-Gespräche per IPv6 möglich.

Conan179
Übergeordneter Verstärkerpunkt
Beiträge: 582
Registriert: 25.01.2015, 22:38

Re: Kleiner IPv6-Workshop

Beitrag von Conan179 » 26.02.2015, 12:31

Also die reine openvpn verbidnung klapt, aber es gibt da ein anderes problechen, der raspi, kann zwar das andere netz an pingen, aber andere pcs, im netzwerk nicht.
Die route zum endfernten Netzwerk wird an die windows pc ausgeliefter, aber die verbindung klappt nicht.
also der Raspby hat die 192.168.1.111 das endfernte netz hat die 192.168.2.0.

Code: Alles auswählen

C:\Users\Conan>route -4 print

IPv4-Routentabelle
===========================================================================
Aktive Routen:
     Netzwerkziel    Netzwerkmaske          Gateway    Schnittstelle Metrik
          0.0.0.0          0.0.0.0    192.168.1.222      192.168.1.2     25
        127.0.0.0        255.0.0.0   Auf Verbindung         127.0.0.1    306
        127.0.0.1  255.255.255.255   Auf Verbindung         127.0.0.1    306
  127.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
      192.168.1.0    255.255.255.0   Auf Verbindung       192.168.1.2    281
      192.168.1.2  255.255.255.255   Auf Verbindung       192.168.1.2    281
    192.168.1.255  255.255.255.255   Auf Verbindung       192.168.1.2    281
     [b] 192.168.2.0    255.255.255.0    192.168.1.111      192.168.1.2     26[/b]
     192.168.37.0    255.255.255.0   Auf Verbindung      192.168.37.1    276
     192.168.37.1  255.255.255.255   Auf Verbindung      192.168.37.1    276
   192.168.37.255  255.255.255.255   Auf Verbindung      192.168.37.1    276
    192.168.147.0    255.255.255.0   Auf Verbindung     192.168.147.1    276
    192.168.147.1  255.255.255.255   Auf Verbindung     192.168.147.1    276
  192.168.147.255  255.255.255.255   Auf Verbindung     192.168.147.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung         127.0.0.1    306
        224.0.0.0        240.0.0.0   Auf Verbindung     192.168.147.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung      192.168.37.1    276
        224.0.0.0        240.0.0.0   Auf Verbindung       192.168.1.2    281
  255.255.255.255  255.255.255.255   Auf Verbindung         127.0.0.1    306
  255.255.255.255  255.255.255.255   Auf Verbindung     192.168.147.1    276
  255.255.255.255  255.255.255.255   Auf Verbindung      192.168.37.1    276
  255.255.255.255  255.255.255.255   Auf Verbindung       192.168.1.2    281
===========================================================================
Ständige Routen:
  Keine

C:\Users\Conan>tracert 192.168.2.32

Routenverfolgung zu nas [192.168.2.32]
über maximal 30 Hops:

  1     3 ms     3 ms     3 ms  Raspberry.fritz.box [192.168.1.111]
  2     *        *        *     Zeitüberschreitung der Anforderung.
  3  ^C
C:\Users\Conan>
wo ist der fehler?
BildBildBild

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 26.02.2015, 15:16

Conan179 hat geschrieben:Also die reine openvpn verbidnung klapt, aber es gibt da ein anderes problechen, der raspi, kann zwar das andere netz an pingen, aber andere pcs, im netzwerk nicht.
Die route zum endfernten Netzwerk wird an die windows pc ausgeliefter, aber die verbindung klappt nicht.
also der Raspby hat die 192.168.1.111 das endfernte netz hat die 192.168.2.0.
Ist die umgekehrte Route für das Netz 192.168.1.0/24 auch im entfernten Netz vorhanden?
Ein Ping ist ja immer ein Rund-Trip.

Poste doch mal die server.conf und die client.conf, natürlich ohne Zertifikate und mit ggf. modifiziertem Server-DynDNS.


Ach ja:
  • Ich würde nicht mit den Netzen 192.168.0.0/24, 192.168.1.0/24, 192.168.100.0/24, 192.168.178.0/24 und 192.168.179.0/24 arbeiten, denn das tut schon jeder Andere.
    Bei Deiner LAN2LAN-Kopplung spielt's noch keine Rolle, aber später für die Road Warriors kann es problematisch werden, wenn Du Dich per VPN ins LAN 192.168.1.0/24 "einwählen" willst, aber am WLAN-Hotspot "schon drin" bist ...

    Die Leute verdrängen ja die Ärgernisse von IPv4 immer, weil man sich dran gewöhnt hat, aber das ist eines davon:
    Weil dabei jeder, oft sogar Firmen, mit demselben überschaubaren Pool "unechter Internet-Adressen" rumhantieren müssen, sind die Konflikte vorprogrammiert.
    192.168.1.0/24 ist und bleibt adressmäßig das selbe Netz, egal ob Du für den Moment mit zwei eigentlich unterschiedlichen davon konfrontiert bist (z.B. zuhause und im Internet-Cafe/Hotel/Flughafen ....).
    Das gilt auch, wenn Deine Netze mit mehreren davon gleichzeitig in Berührung kommen, also selbst wenn Du die 192.168.98.0/24 gewählt hast und damit relativ gute Chancen hast, nicht vom selben Netz aus per VPN verbinden zu wollen, gibt es Ärger, wenn Du vor Ort im LAN 192.168.100.0/24 bist und Dein Router zuhause noch anderen Kontakt mit einem anderen Netz 192.168.100.0/24 hat (z.B. in Form des Kabel-Modems).
  • Warum diese wirren IPs?
    Ich würde IPs im LAN immer etwas sortieren.
    Der Pi mit dem OpenVPN-Server drauf hätte bei mir im LAN die Host-Adresse .2 , .5 , .10 oder so.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Conan179
Übergeordneter Verstärkerpunkt
Beiträge: 582
Registriert: 25.01.2015, 22:38

Re: Kleiner IPv6-Workshop

Beitrag von Conan179 » 26.02.2015, 17:52

ok hier ist die server.conf , der server ist nicht bei mir sonern im 2ten netz.

Code: Alles auswählen

port 1194
proto tcp
dev tun
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/myserver.crt
key /etc/openvpn/keys/myserver.key
auth-user-pass-verify /usr/sbin/vpn_check_account via-env
client-cert-not-required
username-as-common-name
no-name-remapping
dh /etc/openvpn/keys/dh1024.pem
server 192.168.4.0 255.255.255.0
ifconfig-pool-persist /var/log/ipp.txt
push "dhcp-option DNS 192.168.2.1"
client-to-client
duplicate-cn
keepalive 10 60
reneg-sec 0
cipher AES-256-CBC
comp-lzo
max-clients 5
client-connect /etc/openvpn/connect.sh
client-disconnect /etc/openvpn/disconnect.sh
management localhost 7505
persist-key
persist-tun
status /var/log/openvpn-status.log
#log /tmp/openvpn.log
verb 3
Der raspby ist der client und die client.ovpn sieht so aus:

Code: Alles auswählen

client
dev tun
script-security 3
proto tcp
remote  lavebrlouefyohzsdvsd.myqnapcloud.com  1194
resolv-retry infinite
nobind
ca qnapca.crt
auth-user-pass qaauth.txt
reneg-sec 0
cipher AES-256-CBC
comp-lzo
route 192.168.2.0 255.255.255.0
ich hab das TAP auf geben und nutzte tun.

Meine ips haben sehr woll eine strucktur.
192.168.1.1 ist die kabelbw fritzbox
1.222 die 7390 wo DNS,DHCP, macht
1.3 und so weiter dan gruppiert, pcs,spielekonsolen,handys,sat receiver. ectpp.
192.168.1.0 ist bei mir zuhause
192.168.2.0 ist bei standort1
192.168.3.0 bei meine nchefs zuhause
192.168.4.0 openvpn der NAS also der server.
192.168.5.0 standtort2
192.168.6.0 Openvpn des Raspby, der mit 6tunnel läut (das hier nicht das problem ist)
192.168.7.0 Netzwerk meiner alten 1und1 box, bis der vertrag zu ende ist.
Wen AVM nur mal in die puschen kämme und das vpn ipv6 tauglich manchen würde, bräuchte ich die ganze openvpn geschichte nicht. :wut: :wut: :wut:
BildBildBild

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 26.02.2015, 18:10

Wenn ich das richtig sehe, dann willst Du von Netzwerk A ein Netzwerk C erreichen, wobei aber der VPN-Server in Netzwerk B steht.
Dann braucht der Client auch alle Routen ...

Also sagen wir 192.168.4.0/24 ist das Netz mit dem OpenVPN-Server und alle anderen LANs von 192.168.0.0/24 bis 192.168.10.0/24 verbinden sich zu diesem, dann braucht jedes so verbundene LAN Routen in alle anderen LANs.
Und ich würde sie vom Server aus pushen ...

Conan179
Übergeordneter Verstärkerpunkt
Beiträge: 582
Registriert: 25.01.2015, 22:38

Re: Kleiner IPv6-Workshop

Beitrag von Conan179 » 26.02.2015, 18:27

Nein, der Server steht im Netzwerk B und ich möchte von Netzwerk A zu Netzwerk B.

die andere netze sind per AVM VPN verbunden, aber das ist eine andere geschichte.

edit: das tun netz vom Raspby hat die 192.168.6.0, was aber an dieser stelle egal ist, weil der Openvpn server die 192.168.4.0 nutzt, der sogar nur tun kan.
BildBildBild

Conan179
Übergeordneter Verstärkerpunkt
Beiträge: 582
Registriert: 25.01.2015, 22:38

Re: Kleiner IPv6-Workshop

Beitrag von Conan179 » 10.03.2015, 22:15

Die openvpn verbindungen klappen so langsam bei mir.
Aber leider nur in eine richtugn, also von zuhause kann ich auf alle netzwerke zugreifen, die nicht bei mir sind, aber wen ich jetzt z.b. im Netz B sitzte, hab ich keinen zugriff auf mein netz zuhause, die verbindung steht, aber alles nur als einbahnstrasse, die route nach hause, hab ich in der fritzbox im netz b eingetragen, ein traceroute zeigt an, das das paket aber zwischen der fritzbox und dem raspi hin und her geschickt.

Weis hemand zufällig, warum der openvpn server im raspi sich weigert die paket zum netz a (also zuhause) zu shcicken? net.ipv4.ip_forward=1 in der sysctl.conf ist ohne # davor.
BildBildBild

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 12.03.2015, 16:38

Die Fritz!Box denkt - so wie Du's Ihr gesagt hast - daß der Pi das Gateway in Dein Heimnetz ist.
Der Pi hingegen hält die Fritz!Box für das passende Gateway.

Es fehlt also eine Route vom Pi durch's VPN ...

Sinnig ist es, die Client-Configs frei von solchen Einstellungen zu halten und den Server stattdessen alle Routen pushen zu lassen, damit man sie an nur einer Stelle vergewaltigen muß.

Conan179
Übergeordneter Verstärkerpunkt
Beiträge: 582
Registriert: 25.01.2015, 22:38

Re: Kleiner IPv6-Workshop

Beitrag von Conan179 » 12.03.2015, 18:06

der raspi ist der openvpn server, der im netz der fritzbox steht.
[admin@NASD9232D ~]# traceroute 192.168.1.2
traceroute to 192.168.1.2 (192.168.1.2), 30 hops max, 40 byte packets
1 fritz.box (192.168.2.1) 0.381 ms 0.368 ms 0.762 ms
2 praxisberry.fritz.box (192.168.2.222) 2.263 ms 0.927 ms 0.904 ms
3 fritz.box (192.168.2.1) 6.299 ms 1.835 ms 1.858 ms
Was ich gemeint habe ist, das ich von zu hause aus, mit dem openvpn client alle netzte ereichen kann über den openvpn server.
BildBildBild

Banis
Kabelneuling
Beiträge: 4
Registriert: 31.01.2015, 11:41

Re: Kleiner IPv6-Workshop

Beitrag von Banis » 17.03.2015, 13:20

Gibt es eine Möglichkeit ein ein Dyndns Update bei freedns direkt über den Receiver (vu+) durchzuführen? Ich habe früher immer das Plugin inadyn genutzt, aber dieses funktioniert ja für ipv6 nicht. Ich habe aber für die vu+ bisher das neuere inadyn-mt noch nicht gefunden. Gibt es sowas oder evtl eine Alternative?

Benutzeravatar
SpaceRat
Glasfaserstrecke
Beiträge: 2467
Registriert: 08.05.2010, 01:30
Wohnort: Kreis Aachen
Kontaktdaten:

Re: Kleiner IPv6-Workshop

Beitrag von SpaceRat » 17.03.2015, 19:25

Banis hat geschrieben:Gibt es eine Möglichkeit ein ein Dyndns Update bei freedns direkt über den Receiver (vu+) durchzuführen? Ich habe früher immer das Plugin inadyn genutzt, aber dieses funktioniert ja für ipv6 nicht. Ich habe aber für die vu+ bisher das neuere inadyn-mt noch nicht gefunden. Gibt es sowas oder evtl eine Alternative?
Alle anständigen Images enthalten nicht inadyn sondern inadyn-mt und das kann IPv6.
Es gibt allerdings u.U. kein Plugin, welches die notwendigen Konfigurationseinstellungen erlaubt, so daß man inadyn-mt direkt auf Kommandozeilenebene selber konfigurieren muß.

Das ist allerdings auch kein Hexenwerk:
Auf der Shell eingeben:
crontab -e

Und folgenden Cronjob eintragen (Farblich markierte Angaben sind anzupassen, die fett markierte ist für die alternative Option, die ich gleich aufzeige, wichtig):
*/5 * * * * inadyn-mt --dyndns_system default@freedns.afraid.org --alias blabla.mooo.com,U3hWYTdVblablalbalMTM0 ip6 --ip_server_name ipv6.whatismyv6.com /

Damit wird alle 5 Minuten die IPv6 überprüft und ggf. aktualisiert.


Hilfweise kann inadyn-mt auch auf einem beliebigen anderen Gerät im LAN laufen und trotzdem Updates für die Box fahren, indem man die URL für das Ermitteln der IPv6 anpaßt, wenn man ein aktuelles Image auf der Box hat.

Dieser cronjob kann auf einem beliebigen anderen Rechner im LAN laufen:
*/5 * * * * inadyn-mt --dyndns_system default@freedns.afraid.org --alias blabla.mooo.com,U3hWYTdVblablalbalMTM0 ip6 --ip_server_name <IPv4 der Box> /web/getipv6

Auch dieser cronjob ermittelt alle 5 Minuten die aktuelle IPv6 und aktualisiert sie ggf., aber er holt sich die IPv6 nicht von einem externen Server (Womit das Gerät ja nur seine eigene IPv6 und nicht die IPv6 der Vu+ ermitteln würde), sondern von einer speziellen Adresse des OpenWebif direkt auf der zu aktualisierenden Box.

Ob das so klappen würde, kann man ganz einfach vorab testen, indem man diese Service-URL direkt im Browser testet:
http://vusolo2/web/getipv6
bzw. z.B.
http://192.168.0.56/web/getipv6
sollte folgendes Ergebnis liefern:
OpenWebif hat geschrieben:My IP address is: 2001:db8:dead:0:c0c0:ecff:fe00:beef
Beide Methoden funktionieren auf jeder beliebigen E2-Box (Außer DM500/DM800HD/DM800se) mit jedem aktuellen Image (OpenATV, OpenViX, OpenPLi, ...), nicht aber auf nicht wirklich gepflegten Images wie dem Original-Herstellerimage sowie deren gepimpten Derivaten wie VTI oder BH.
Receiver/TV:
  • Vu+ Duo² 4xS2+2xC / OpenATV 6.1@Samsung 50" Plasma
  • AX Quadbox HD2400 2xS2+2xC / OpenATV 6.1@Samsung 32" TFT
  • 2xVu+ Solo² / OpenATV 6.1
  • DVBSky S2-Twin PCIe@SyncMaster T240HD (PC)
  • TechniSat SkyStar HD2@17" (2.PC)
Pay-TV: Schwarzfunk, Redlight Elite Superchic, SCT 10, HD-, Sky
Fon: VF Komfort-Classic (ISDN), 2xFritz!Fon C4+Siedle DoorCom Analog@F!B 7390
Internet: UM 1play 100 / Cisco EPC3212+Linksys WRT1900ACS / IPv4 (UM) + IPv6 (HE)
Bild

Antworten

Wer ist online?

Mitglieder in diesem Forum: Marannon, MaXX und 4 Gäste