Dynamische Provider-IPv6 am WAN-Interface / Empfohlener Umgang in Bezug auf DynDNS?

jaydee73 · January 8, 2026 at 11:30 AM

Moin zusammen,

vorweg: Ich bin kein Netzwerkprofi, und auch kein Unifi-Profi. Also habt etwas Nachsicht.

Mein "Problem": Mein ISP-Provider hat von öffentlicher IPv4 auf IPv6 mit CGNAT umgestellt. Die v6 IP ist dabei "leider" recht dynamisch, ändert sich quasi täglich.

Auf meinem UXG-Fiber (bzw. auf dem Network-Controller, der als Docker läuft) läuft ein WG-Server, so dass ich also die WAN-IP brauche (bzw. der Dyndns-Dienst, damit ich mich über einen Hostnamen connecten kann), damit die VPN-Clients sich connecten können.

Nun habe ich mittlerweile herausgefunden (siehe z. B. hier: https://community.ui.com/questions/Add-…5d-35a82684381f), dass die Unifi-DynDNS-Implementierung (welche wohl auf inadyn basiert) arge Probleme damit hat, IPv6-Adressen korrekt an Dyndns-Dienste weiterzugeben. Es funktioniert schlicht nicht. Es geht wohl (out-of-the-box) nur IPv4, was mir hier aber wegen CGNAT nicht hilft.

Ist das hier vielleicht anderen auch schon auf die Füße gefallen? Oder hat wer vielleicht schon Lösungsansätze dafür? Ich bin z. B. über ein Github-Repo gestolpert, wo jemand via Python-Script die API anzapft, um die WAN-IP zu ermitteln. Und dann könnte man das natürlich darüber auch an den gewünschten Dyndns-Anbieter weitergeben (https://github.com/gomes89/unifi-ddns6). Problem hier: So wie er das macht, scheint das nur bei der Dream Machine zu funktionieren. Ich komme über API-Abfragen zumindest aktuell bei meinem UXG Fiber noch nicht an die WAN-IP ran.

Wenn hier also jemand vielleicht ein paar Denkanstöße oder hilfreiche Tipps hätte, wäre ich dankbar.

Gruß,

Stefan

jkasten · January 8, 2026 at 12:08 PM

Wenn möglich wieder auf IPv4 umstellen lassen, mit IPv6 wirst du nur Ärger mit VPN haben.

jaydee73 · January 8, 2026 at 12:21 PM

Dafür hätte der Provider gerne ganz, ganz regelmäßig immer wieder neue Münzen in sein Säckel eingeworfen bekommen.

Wenn es letztendlich dazu kommt, dann isses so. Aber im Augenblick würde ich mich gerne noch der Vorstellung hingeben, dass es auch anders geht.

DoPe · January 8, 2026 at 12:41 PM

Such dir einen DDNS Provider, der über IPv6 aktualisiert werden kann und der dann die IP nimmt, von dem der Request kam. Geht z.B. bei IPv64.net problemlos. Für den Wireguard Server über IPv6 dann noch eine Firewallregel erstellen und dann sollte das klappen. Man muss allerdings dann auch auf Clientseite IPv6 verfügbar haben.

jkasten · January 8, 2026 at 12:50 PM

Quote from DoPe

Man muss allerdings dann auch auf Clientseite IPv6 verfügbar haben.

Und daran wird es dann oft scheitern.... ipv64.net kann ich aber dahingehend auch nur empfehlen.

jaydee73 · January 8, 2026 at 2:07 PM

ipv64 ist in der Tat der Anbieter, den ich auch schon verwende und auch gerne für ipv6-dyndns weiter verwenden würde. Derzeit habe ich es "provisorisch" über deren "Cloud-Router" konfiguriert, so dass mein UXG Fiber via Client-VPN dorthin connected. Das funktioniert auch, bedingt aber eine permanente Verbindung zwischen ipv64 und meinem UXG. Das finde ich gefühlt nicht so gut.

Mir erschließt sich allerdings technisch noch nicht, wie ich das umsetzen soll, was DoPe vorschlägt. Der "Client" wäre ja z. B. mein iPhone, mit welchem ich die VPN-Verbindung zum WG-Server aufmache. Auf dem iPhone habe ich den Hostnamen von ipv64 im VPN-Profil. Also geht die Anfrage erstmal dorthin. Und da wird doch dann "trotzdem" noch die WAN-IP vom UXG benötigt, um an den WG-Server zu kommen, oder denke ich da falsch?

DoPe · January 8, 2026 at 6:14 PM

DynDNS auf deinen Anschluss und der Cloudrouter (Was letzten Endes viel mit eigenem VPS machen) sind zwei paar Schuhe.

Ich nutze den Cloudrouter nicht, aber wie mir scheint, müsste das in etwa so laufen. Beim Cloudrouter verbinden sich alle Geräte über diesen besagten Cloudrouter, also auch dein Gateway. Somit ist die WAN IP deines Anschlusses erstmal irrelevant für die Clients, da der Traffic über den Cloudrouter fließt. Und wenn ich das mal so nebenbei richtig mitbekommen habe, kannst Du dann mit einer IPv6 VPN im Tunnel IPv4 nutzen in dein LAN ... ist ja irgendwie eine Weiterentwicklung von dieser Portmapper Lösung.

Wenn Du deine eigene IPv6 mit dem DDNS verknüpfen willst, kannst Du einen DDNS anlegen und die Abfrage an ipv6.ipv64.net/\/nic/update?hostname= usw. senden. Ebenso gibt es das für IPv4 ipv4.ipv64.net/\/nic/update?hostname= usw. Willst Du beides, dann benötigst Du 2 DDNS Einträge bei Internet.

Und dann gibt es eben noch die klassische Update URL, bei der dann aber IPv6 nicht aktualisiert wird. Ist eigentlich bei IPv64 alles bestens dokumentiert.

jaydee73 · January 8, 2026 at 9:40 PM

Sorry, dass ich hier vielleicht mit dem Cloud-Router Verwirrung gestiftet habe. Ja, natürlich sind das zwei verschiedene paar Schuhe. Ich wollte nur (kurz) aufzeigen, dass dieser Weg zwar funktioniert, aber eben auch was ganz anderes ist. Daher: Haken dran.

Zum DDNS: Ja, genau das ist aber doch das Problem. Das UXG Fiber kann die IPv6 nicht via besagter Update-URL an ipv64 senden. Es funktioniert schlicht nicht bei einer IPv6 Adresse. Das funktioniert nur mit IPv4. Und ja, es gibt getrennte URLs für ipv4.ipv64 und ipv6.ipv64. Was aber eben hier (meiner Meinung nach) quasi irrelevant ist, weil eben das Gateway die IP technisch nicht senden kann, weil inadyn scheisse implementiert ist. Dazu gibt es auch ein dediziertes Video von Dennis bei YT, wo er das beschreibt/erklärt/bestätigt. Zumindest so, wie ich das verstehe.

Also nicht ipv64 ist das Problem, sondern das Gateway, bzw. die inadyn-Implementierung des Gateways. Und da das Gateway die IP nicht senden kann, habe ich nach möglichen Alternativen gesucht. Also z. B. die WAN IPv6 via Script "manuell" abzufragen und dann ebenfalls manuell an die API von ipv64 zu liefern.

Aber vielleicht verstehe ich das ja auch falsch? Wie gesagt, ich bin kein Profi...Letztendlich habe ich aber dyndns auf dem Gateway eingerichtet und die Update-URL (sowohl die "normale" als auch die ipv6 URL) probiert. Ergebnis: Die IP kommt bei ipv64 nicht an. Was dann auch zu besagtem YT-Video passt.

Peterfido · January 9, 2026 at 6:17 AM

Dyn DNS per IPv6 macht bei mir nicht das UCG Fiber, sondern die opnSense direkt. Diese hat eine andere IPv6 als das UCG fiber. Wireguard nutze ich auch über die opnSense, welche ausschließlich wegen der Wireguard Verbindungen als VM läuft. Die Internetverbindung ist bei mir allerdings vor der UCG fiber abgegriffen. Die hängen also beide als Client an der Fritzbox und am Kabelrouter. Der Kabelrouter ist allerdings abgemeldet, da warte ich jetzt (immer noch) auf die Deutsche Glasfaser. Da kommt dann zuerst auch wieder eine Fritzbox, welche auf UCG fiber und die opnSense geht.

Alles Andere wollte nicht so, wie ich es mir vorgestellt hatte. Der billige Kabelrouter konnte übrigens einen Port nur aufgrund der MAC Adresse korrekt weiterleiten. Die opnSense nutzt auch IPv64.net.

Tomcat · January 9, 2026 at 8:41 AM

Quote from Peterfido

Dyn DNS per IPv6 macht bei mir nicht das UCG Fiber, sondern die opnSense direkt. Diese hat eine andere IPv6 als das UCG fiber.

Nutzt du beides parallel ?

Ich hab nur den OPNSense als Router/Firewall hinter einem Arris-Kabelmodem und auch Wireguard läuft auf der OPNSense ( obwohl ich das kaum noch nutze )

Peterfido · January 9, 2026 at 1:19 PM

Ja, ich nutze beides. Ein extra VLAN nur für Wireguard, wo die opnSense Client drin ist.

jaydee73 · January 9, 2026 at 1:20 PM

Auch auf die Gefahr hin, jetzt unhöflich zu wirken: Der Ist-Zustand von Peterfido hat nicht so richtig was mit meiner Fragestellung zu tun. Ich habe weder ne Fritte davor, noch parallel ne pfsense im Einsatz. Demzufolge ist der Beitrag auch nicht unbedingt hilfreich (sorry..). Daher würde ich auch ungerne dieses Thema hier weiter diskutieren wollen. Falls du, Tomcat, dazu Fragen hast, kannst du ihn ja bestimmt auch direkt anschreiben. Danke.

DoPe · January 9, 2026 at 5:40 PM

Quote from jaydee73

...
Zum DDNS: Ja, genau das ist aber doch das Problem. Das UXG Fiber kann die IPv6 nicht via besagter Update-URL an ipv64 senden. Es funktioniert schlicht nicht bei einer IPv6 Adresse. Das funktioniert nur mit IPv4. Und ja, es gibt getrennte URLs für ipv4.ipv64 und ipv6.ipv64. Was aber eben hier (meiner Meinung nach) quasi irrelevant ist, weil eben das Gateway die IP technisch nicht senden kann, weil inadyn scheisse implementiert ist. Dazu gibt es auch ein dediziertes Video von Dennis bei YT, wo er das beschreibt/erklärt/bestätigt. Zumindest so, wie ich das verstehe.
...

Vielleicht einfach mal machen und weniger mit irrelevanten Dingen grübeln. Das funktioniert sehr wohl. benbutze ich ja selbst. Die IPv6 Adresse ist nur vie IPv6 erreichbar, ergo muss das Gateway den Aktualisierungrequest per IPv6 an Dennis DNS senden. Dennis hat das so gemacht, das wenn der Request korrekt aufgebaut ist, die Source IP des Requests zum Aktualisieren verwendet wird und nicht eine IP die im Request übertragen wurde. Dazu muss dein Gateway bzw, der Inadyn die WAN IP nicht kennen.

DoPe · January 9, 2026 at 5:56 PM

Leg dir einen neuen DDNS Eintrag bei Internet an.

Beim Feld Server kommt folgendes rein: ***irgendwas*** bitte mit deinen Daten ersetzen und die Sterne weglassen.

ipv6.ipv64.net/\/nic/update?hostname=***dyndns hostname***&key=***Dein Authentifizierungs Key***

Password Feld: auch dein Auth Key ... ICH benutze den Account Key, weil da ohnehin nur ein host existiert.

Benutzer; irgendwas nur nicht leer ... ich hab IPv6 drin stehen

Hostname sollte klar sein.

Du siehst der Server hat ein ipv6 als Hostanteil, zusätzlich, zu den Update-URLs die in Dennis GUI stehen und der Aufbau ist etwas anders. Das steht allerdings auch irgendwo in Dennis seinem Infochaos Man braucht dann 2 DDNS Dienste jeweils einen für IPv4 und v6, wobei bei dir IPv6 reicht,

Und hier noch der Nachweis, dass meine Domain aktuallisiert wurde ...

jaydee73 · January 9, 2026 at 6:13 PM

I'll try...vielen Dank für deine Hilfestellungen.

Quote from DoPe

Die IPv6 Adresse ist nur vie IPv6 erreichbar, ergo muss das Gateway den Aktualisierungrequest per IPv6 an Dennis DNS senden. Dennis hat das so gemacht, das wenn der Request korrekt aufgebaut ist, die Source IP des Requests zum Aktualisieren verwendet wird und nicht eine IP die im Request übertragen wurde. Dazu muss dein Gateway bzw, der Inadyn die WAN IP nicht kennen.

=> Das könnte eventuell der entscheidende Hinweis gewesen sein. Ich hatte für die Unifi-Komponenten (die bei mir im Management-VLAN hängen) bisher IPv6 nicht aktiviert. Habe irgendwie gedacht, dass das nicht relevant/nicht notwendig wäre, zumindest nicht für die Dyndns-Geschichte. Habe das jetzt mal aktiviert und schaue die nächsten Tage, ob die IP bei ipv64 nun upgedated wird.

Den Dyndns-Eintrag im Gateway selbst hatte ich bereits, so wie auch von dir (und in den Anleitungen von Dennis) beschrieben, angelegt.

jaydee73 · January 9, 2026 at 6:16 PM

Ergänzung: Wenn ich dich richtig verstanden habe, wird dann die IPv6-Adresse des Gateways an ipv64 übertragen und nicht die WAN-IPv6, die das Gateway vom Provider erhalten hat. Richtig? Und die funktioniert dann auch als Wireguard-Endpunkt-IP?

DoPe · January 9, 2026 at 7:06 PM

Was Du da so schreibst macht keinen Sinn

Ob in den VLANS IPv5 an ist oder nicht ist unerheblich, da es ja um einen Wireguard Endpoint auf dem WAN des Gateways geht. Genau dort muss IPv6 an sein. Das geht auch wenn Du in den VLANs gar kein IPv6 aktiv hast.

Und nein es wird nicht eine IPv6 vin einem LAN Interfaxe des Gateways übertragen. Genau genommen wird in der Aktualisierung gar keine IPv6 übertragen. Es werden für die Aktualisierung IPv6 Datenpakete an den DDNS Server gesendet. Jedes IP Datenpaket, egal welche IP Version, hat die IP des Absenders an Board. Sonst kann ja niemals eine Antwort ankommen beim Absender. Und Genau diese Source IP wird dann vom DDNS Server verwendet.

Das machen viele DDNS Dienste so nicht und auch Dennis seiner mit der 0815 Update-URL nicht. Dafür hat Dennis scheinbar extra noch etwas gebaut. Er aktualisiert ja auch keine private IPv4 Adressen, was manche DDNS Dienste stumpf machen.

Wireguard lauscht auch auf dem IPv6 WAN. Wie weiter oben schon geschrieben musst Du dann nur eine Firewallregel erstellen, die von Zone extern via IPv6 auf den Wireguard Port, per UDP in Zone Gateway erlaubt.

jaydee73 · January 9, 2026 at 9:25 PM

Ich sagte doch, ich bin kein Profi.

Dann verstehe ich allerdings nicht, warum das bei mir bisher nicht bereits funktioniert hat. Denn alles, was du empfiehlst, hatte ich bereits so umgesetzt (meiner Meinung nach). Ich habe ne v6 IP auf dem WAN Interface, ich hatte dyndns im Gateway konfiguriert und die Firewallregel existiert auch bereits. VPN auf die IP direkt funktioniert ja auch bereits bei mir. Nur eben auf den Hostnamen nicht, bzw. zumindest nicht zuverlässig, weil die WAN IPv6 halt nicht aktualisiert wird bei ipv64.

Nun gut, ich habe Dyndns nochmal neu angelegt auf dem Gateway und jetzt warte ich mal auf den nächsten Provider-IP-Wechsel.

jaydee73 · January 11, 2026 at 10:53 AM

Kleines Update: Mein ISP hat die IPv6 bisher "leider" noch nicht wieder geändert. Die letzten Tage ging das eigentlich täglich, aber da gab es auch einige Probleme mit der Leitung. Seit Donnerstag ist die v6 IP aber gleichbleibend. Ich werde also weiter abwarten müssen.

Allerdings habe ich (so wie Dennis das im Video ja auch gezeigt hat) mal auf der Shell des Gateways via curl die ipv6-Update-URL von ipv64 aufgerufen. Das hat funktioniert. Sekunden später hat ipv64 den Eintrag aktualisiert. Ich hatte spaßeshalber bei ipv64 vorher die IPv6 geändert und mit dem curl-Aufruf hat ipv64 das wieder auf die aktuelle Wan-IPv6 aktualisiert.

Der richtig manuelle Weg funktioniert also schon einmal.

Participate now!