OpenVPN Server über IPv6 > Fritzbox > UDMP > Synology NAS

Falls die Einstellung im intrusion Threat Management nicht zum Erfolg führt, könnte ich mal über Team Viewer mit Dir zusammen da drüber schauen. Das wäre doch verhext wenn das bei Dir nicht laufen sollte ....

Hallo zusammen,

am Ende hat es geklappt mit der externen Verbindung und ich möchte ein paar Tools / Hilfestellungen hier mal bereit stellen.

Generell war es so, dass die UDMPro von der deutschen Glasfaser einen korrekten Präfix bekommen hat und die IPv6 auch in die dafür vorgesehenen Netzwerke verteilt hat. Allerdings war ein Zugriff auf die Geräte von extern nicht möglich. Die Firewalls waren deaktiviert, was vermuten lässt, dass etwas mit dem internen Routing nicht stimmte. Die Verbindung sollte später über einen externen VServer per 6Tunnel getunnelt werden. Es stand also auch ein externer Server zur Verfügung

Hier ein paar Befehle auf der UDM/UDM Pro, welche über SSH Zugang abgefragt werden können:

IP Addr

oder

ipsec statusall

Beide Befehle geben die in der UDM/UDMPro vergebenen Adressen.

Ein Hinweis noch (UDMPRO) der WAN Port (ETH8) zeigt die Adresse des WAN Port, bekommen von der deutschen Glasfaser. Den eigenen Präfix sieht man an der Schnittstelle BR0, also dem LAN 0

Wenn man weitere Netzwerke für IPv6 frei schaltet erhält man dort weitere Präfix Adressen, speziell für das VLAN.

Will man alle vergebenen Adressen im Netzwerk anschauen, gibt man

ip neighbour
ip -6 neigh

ein. Man sieht eine Auflistung aller vergebenen IP Adressen. Die IPv6, beginnend mit fe8... kann man ignorieren, sie werden nur lokal vergeben, wichtig sind Adressen, welche mit dem gleichem Präfix anfangen wie aus der BR0 oder dem VLAN. Hinter der Adresse wird die MAC Adresse angezeigt, darüber kann man das entsprechende Gerät identifizieren.

Wie kann man nun extern prüfen, als Ausgangspunkt nehmen wir hier den oben erwähnten VServer, der auch den 6Tunnel zur Verfügung stellen soll. Das kann aber jeder andere Rechner sein, der nicht im Netzwerk ist und IPv6 Zugang hat.

traceroute6 [IPv6 des Endgerätes im Netzwerk z.b. Server]

Der Traceroute sollte nun die Routings anzeigen und bis zur oben erwähnten IPv6 des ETH8 (WAN) Port führen, weiter kommt man hiermit nicht.

Wenn man soweit ist, sollte auch der Zugriff auf die Geräte hinter der UDM/UDMPro gelingen. Mit dem Befehl

nmap -6 -sT [IPv6 des Endgerätes im Netzwerk z.b. Server]

kann man einen Portscan durchführen, der einem die offenem Ports auf dem Gerät zeigt. Dies kann auch hilfreich sein später die Firewall entsprechend zu setzen/probieren. Falls das Gerät nicht verfügbar ist, wird das auch als nicht erreichbar angezeigt.

All das setzt natürlich voraus dass man testweise die Firewalls aller System deaktiviert (Nachher unbedingt aktivieren wenn alles läuft!)

Wie oben erwähnt gab es nun Geräte die eine IPv6 bekamen, aber nicht von außen zu erreichen waren. Vieles wurde versucht, es zeichnet sich aber ab das ein Befehl zum Erfolg führte. Auf der UDM/UDMPro eingeben:

ip neigh flush all

Hiermit wird der komplette ARP Cache gelöscht. Dann den Router neu starten.

Wichtig danach: Warten, ruhig mal mehrere Stunden oder sogar Tage.

-> Bitte hier mal eine Rückmeldung geben ob andere Personen dies als die tatsächliche Lösung bestätigen können, gerade wenn das Resultat nicht sofort sichtbar ist kann man das nicht immer nachvollziehen.

Ich habe gesehen das es mehrere Foren Einträge gibt wo immer mal wieder über das Thema gesprochen wird. Bis jetzt hat es bei 2 Personen, gleiches Setup, verbunden über Deutsche Glasfaser, zum Erfolg geführt

Hallo uboot21,

ich habe mir hier deine Erklärung hier durch gelesen und es auch mal wieder probiert um vielleicht hiermit zu einem Ergebnis zukommen weil ich es wirklich schon lange Probiert habe und auch fast alles im Netz probiert habe.

Was soll ich sagen ich komme auch hier mit nicht weiter ich weis aber auch nicht mehr wo dran es liegen soll ich habe selbst nur ein UGP 3P keine Pro ist das vielleicht mein Problem?

Wo ich wohl noch nicht hinter gekommen bin ist wo führ ist die IPv6_WANin_Tunnel_VPS_IP da ich die in Anleitung von dir nur einmal erstellt habe aber nicht eingebunden vielleicht ist das ja auch mein Fehler?!

Ich würde mich sehr freuen wenn du mir vielleicht helfen kannst.

Zitat von mohnbrt

Ich würde mich sehr freuen wenn du mir vielleicht helfen kannst.

Hallo Mohnbrt,

es scheint hier generell verschiedene Lager zu geben.

1. Setups, bei denen alls normal läuft (da zähle ich dann auch zu)

2. Setups, identisch wie bei mir, den Router direkt an den Medienkonverter per DHCP über Netzwerk angeschlossen. Hier hab ich 3 Personen geholfen alles korrekt einzurichten und es lief nicht. Hier hat das oben beschriebene geholfen. Zumindest hat ein Werksreset hier nicht geholfen, man könnte probieren manuell eine Firmware Version zurück zu gehen, später wieder auf die neue Version zurück. Dies hat auch einmal geholfen.

Die Frage bleibt offen ob das Problem bei Unifi oder Deutsche Glasfaser und Co. liegt, hier sind teilweise Foren anderer Hersteller auch voll, insbesondere wenn im Nachbarbereich noch ausgebaut wird.

3. Es gibt wohl andere Probleme bei Setups mit PPOE, leider kann ich hierzu überhaupt nichts beitragen, schon immer schwer genug gleiche Setups zu vergleichen.

Zitat von mohnbrt

wo führ ist die IPv6_WANin_Tunnel_VPS_IP

Hier geht es ja um die Firewall. Tipp: Wenn es noch nicht läuft, alles öffnen was es gibt, keine Firewall einstellen so lange die Verbindung nicht steht. Erst dann in Phase 2 alles absichern.

Bei Zugriff von IPv6 gibt es keine Weiterleitung wie bei IP4, das Gerät ist direkt offen für das internet. Man sollte also mit den ersten Regeln nur den Zugriff auf die IPv6 erlauben, welche von ausserhalb angesprochen werden sollen, auch nur die Ports welche man benötigt. Dann sollte man in einer letzten Regel jeglichen WANv6 IN Verkehr blocken.

Die IPv6_WANin_Tunnel_VPS_IP ist optional: Falls du einen Portmapper oder Tunnel6 zu deinen Geräten aufbaust kannst du zusätzlich die IPv6 deines Portmappers/6Tunnel als Quelle angeben, das blockt dann noch einmal zugriffe von anderen Quellen.

Allerdings: Auch das hängt von deinem Setup ab, falls du einen DNS Klasse A Eintrag für eine Domain machst würde alles funktionieren, erstellst du einen Klasse AAAA Eintrag direkt mit der IPv6 deines Zieles würde es nicht funktionieren. Hier muss man sich vorher einen Plan erstellen was man möchte.

Bei dem ganzen Portmapper, 6Tunnel setup darf man nicht vergessen, dass alles nur mit TCP geht, die meisten VPN Server laufen nur mit UDP, da ist man auf einen OPENVPN Server mit TCP Support angewiesen.

Zitat

Bei dem ganzen Portmapper, 6Tunnel setup darf man nicht vergessen, dass alles nur mit TCP geht, die meisten VPN Server laufen nur mit UDP, da ist man auf einen OPENVPN Server mit TCP Support angewiesen.

Danke für die ausführliche Antwort, ich hatte das mit meiner FritzBox vorher immer am laufen gehabt und bin dann komplett auf Unifi umgestiegen und bin immer wieder an diesem Punkt gescheiter!!!! Auf Werkseinstellung setzen, das ganze bei Freunden Probiert die das System und gleiche Setup nutzen wie ich und ich bin nie zu einem zugriff gekommen, weder bei den noch bei mir.

Ich denke das Probiere ich heute mal aus, aber erhoffe mir nicht viel da ich schon einige versuche unternommen habe. Das was mir nur aufgefallen ist das fast alle Kommentare die ich gefunden habe wo es funktioniert eine Pro haben und keine USG 3P.

So ich kann leider bis jetzt auch mit diesen befehlen keinen Erfolg verzeichnen, sehr schade aber ein Versuch war es wert.

Vielleicht hat noch jemand einen Tipp oder eine Idee?

Hallo,

ich hab es heute mit dem Zurücksetzen der UDM und Einspielen der Datensicherung endlich hinbekommen.

Allerdings habe ich alle IPv6 Firewall Regeln gelöscht, neu angelegt und das Webinterface nicht auf Deutsch umgestellt.

Gruß