OpenVPN Server über IPv6 > Fritzbox > UDMP > Synology NAS

Es gibt 47 Antworten in diesem Thema, welches 17.749 mal aufgerufen wurde. Der letzte Beitrag () ist von razor.

    Moin liebe Ubiquiti Fans,

    ich bin total am verzweifeln.... vor ein paar Tagen habe ich meinen Internet Anschluss von der Deutschen Glasfaser und somit keine IPv4 Adresse mehr zum erreichen meines Netzwerkes.


    Von dem Glasfaser Modem gehe ich in die Fritzbox wegen DECT. Dann geht es weiter in die UDMP und vor Dort an das Synology NAS.

    Ich habe sämtliche Konfigurationen ausprobiert und komme einfach nicht mehr weiter.

    Ich habe eine VPS Server mit IPv4 Adresse und 6tunnel versucht aber ich bin einfach zu dusselig.


    Muss ich in der Firewall in noch irgendwas freigeben? Ich habe immer nur Portweiterleitungen genutzt, was vorher auch gereicht hat.


    Hat sowas vielleicht schonmal eingestellt und kann mir ggf direkt helfen oder ein paar Screenshots posten?

    Dieses IPv6 macht mich einfach kaputt - kann das nicht so einfach sein wie das gute alte v4?...


    Liebe Dank für eure Gedanken :smiling_face:

    Der IPv6 VPN Zugang funktioniert nicht mitUDP, nur mit TCP Protokoll


    Du benötigst also einen Open VPN Server der das TCP Protokoll unterstützt, als Zieladresse zu dem Port muss dann auch die IPv6 des Open VPN servers eingetragen werden im 6Tunnel.


    Ich nutze dafür die Synology, die hat alles an Bord


    Du benötigst bei der UDMPro und der deutschen Glasfaser übrigens kein Modem bzw Fritzbox mehr. Du kannst mit dem WAN Port direkt in den Medienkonverter


    P.S.: Hast du hierzu mein Wiki gelesen, ich habe identischen Aufbau

    Externer Zugriff über IPv6

    Gefällt mir 2

    Hi uboo21,


    ich bin einfach zu bescheuert. Ich habe schon so einiges durch probiert aber es möchte nicht so richtig. Die Fritzbox brauche ich leider davor obwohl ich es nicht möchte.

    Ich habe auch ein Synology NAS es wird mir auch eine IPv6 Adresse angezeigt aber leider bekomme ich einfach keinen Zugriff.


    Ich habe mal eine pdf mit den Screenshots eingefügt. Ich denke irgendwo ist der Fehler. Ich habe die Konfig auch schon etwa 50 mal geändert.


    Wäre cool wenn du mal rüber schauen könntest


    VG

    443 wird nicht gehen, da laufen verschlüsselte Webserver drauf, auch der der Synology, warum nimmst du nicht den Standard 1194?


    Ach ja, du solltest bei IPv6 alle Ports am wan eingehend sperren die du nicht benötigst, dein Netzwerk liegt offen sonst


    Portweiterleitung kannst du löschen, das ist für ip4, bei IPv6 wird das Gerät direkt angesprochen (deshalb Firewall !)

    Den Port 443 hatte ich bei ipv4 immer da kommt man fast aus jedem Gastnetzwerk mit raus.


    Aber ich Versuche das nochmal zu ändern.

    Wie sollte denn der Firewall Eintrag aussehen?

    Die erste (obere) Firewall Regel erlaubt den Zugriff von (Quelle) der IPv6 deines Tunnel Servers mit Ziel deiner IPv6 der NAS, ich würde dann eine Port Gruppe erstellen mit allen Ports die du auch im 6tunnel eingerichtet hast mit ziel deiner nas (zb Reverse Proxy).

    Die nächste Firewall Regel blockt als Quelle any und als Ziel any im wan eingehend IPv6


    Übrigens nie vergessen auch auf deinem vps Server müssen die Ports in der Firewall frei gegeben werden die du nutzen möchtest, sonst wird nichts weiter geleitet.


    Für weitere Tipps kannst du gerne mal auf meiner Webseite schauen, wie gesagt nutze ich völlig identisches Setup (außer das ich kein doppeltes NAT habe wie du mit der FRITZ!Box),

    Was ich nicht direkt weiß ist, ob die FRITZ!Box überhaupt VPN Verbindungen durchlässt wenn du bereits VPN auf der FRITZ!Box aktiviert hast, das sollte bei einem Tunnel kein Problem sein, bei ip4 würde das so aber nicht funktionieren


    PS: Die FRITZ!Box hängt bei mir zum telefonieren hinter der udmpro, das muss dafür nicht unbedingt davor

    Zitat von pekepain

    Kannst du vielleicht Mal einen Screenshot von deiner Freigabe bzw nicht Freigabe machen?


    Also ein Bild zeigt jetzt auch nicht mehr als mein Text, ausser das ich Details über mein Firewall Setup preis gebe, hier aber die Sperrung Aller eingehenden Verbindungen, die Freigabe kommt halt davor.


    Damit du es einfacher hast, hier die Anleitung für die Freigabe.

    Du erstellst drei Gruppen

    Typ

    IPv6 Address/Subnet

    Name

    IPv6_WANin_Tunnel_VPS_IP

    -> Hier kommt die IPv6 deines öffentlichen VPS Server rein

    Typ

    IPv6 Address/Subnet

    Name

    IPv6_WANin_Tunnel_VPNServer_IP

    -> Hier kommt die IPv6 deines VPN Server rein (zb Synology)

    Typ

    PortGroup

    Name

    IPv6_WANin_Tunnel_VPNServer_Port

    -> Hier kommen alle Ports rein die du vom 6tunnel an diese IPv6 umleitest


    Firewall Regel erstellen unter Internetv6 IN

    Name: Allow_IPv6_WANIn_Tunnel_VPNServer


    Rule Applied: Before Predefined Rules

    Action: Accept

    IPv6 Protokoll TCP (es geht kein anderes Protokoll über 6Tunnel)

    Source IPv6 Adress Group: IPv6_WANin_Tunnel_VPNServer_IP

    Port Group: IPv6_WANin_Tunnel_VPNServer_Port

    Destination IPv6 Adress Group: IPv6_WANin_Tunnel_VPNServer_IP

    Port Group: IPv6_WANin_Tunnel_VPNServer_Port


    Das war es eigentlich, kein Zauberwerk


    P.S.: Bei der deutschen Glasfaser kannst du auch die IP4 WAN in komplett sperren, Die IP4 welche du zugewiesen bekommst ist sowieso nur aus dem Glasfaser Netz erreichbar und somit nutzlos, das Schliessen der IP4 schützt also vor zufälligen Angriffen aus dem DG Netz. Portweiterleitungen sind somit auch sinnlos und können gelöscht werden.


    Einmal editiert, zuletzt von uboot21 ()

    Moin ich danke dir. Ich werde die jetzt die UDMP direkt an den ONT anschließen. Bedeutet 2h warten bis Deutsche Glasfaser das neue Gerät annimmt...

    ALso probiere ich morgen früh meine Fritze hinter die UDMP zu konfigurieren.


    Liebe Dank für die ganze Mühe!!!!

    • Offizieller Beitrag
    Zitat von pekepain

    Bedeutet 2h warten bis Deutsche Glasfaser das neue Gerät annimmt...

    Moin, das finde ich total bescheuert, das man warten muss weil die den Port sozusagen zurücksetzen, um dann das neue Gerät was dran hängt zu akzeptieren, ich meine so oft tauscht man es nicht, aber wenn ich tauschen muss weil defekt muss ich dann aufs Internet verzichten mit welcher Begründung. Beim Ölwechsel am Auto warte ich ja auch nicht bis der Motor das neue Öl akzeptiert und sagt jau du darfst fahren :thinking_face:. Also ich schließe ja nicht immer wieder ein neues Gerät an, weil ich keinen Switch habe wenn ihr wisst, was ich meine :smiling_face_with_halo:.


    Gruß hommes

    Umfrage G3 Instant Preisgestaltung

    Umfrage Ubiquiti Setup, Danke

    Umfrage Versandkosten EU-Store


    Mein Heimnetz

    Zitat von pekepain

    Ich werde die jetzt die UDMP direkt an den ONT anschließen

    In dem Fall muss in der udmpro der Präfix auf 56 gestellt werden.

    Dadurch kann es auch sein dass deine Geräte neue IPv6 Adressen bekommen die du im Tunnel neu eingeben musst!

    Ich empfehle dir direkt die von dir genutzten VLAN, welche du benötigst, auch für IPv6 frei zu schalten, mit jeder Änderung ändert sich sonst evtl. Die Präfix Zuordnung innerhalb deines Netzwerkes (jedes VLAN bekommt einen eigenen unter Präfix, 01, 02, 03….)

    Zitat von hommes

    Moin, das finde ich total bescheuert, das man warten muss weil die den Port sozusagen zurücksetzen, um dann das neue Gerät was dran hängt zu akzeptieren, ich meine so oft tauscht man es nicht, aber wenn ich tauschen muss weil defekt muss ich dann aufs Internet verzichten mit welcher Begründung. Beim Ölwechsel am Auto warte ich ja auch nicht bis der Motor das neue Öl akzeptiert und sagt jau du darfst fahren :thinking_face:. Also ich schließe ja nicht immer wieder ein neues Gerät an, weil ich keinen Switch habe wenn ihr wisst, was ich meine :smiling_face_with_halo:.


    Gruß hommes

    ja Deutsche Glasfaser ist da schon speziell.... aber diesmal ging es tatsächlich schneller



    Zitat von uboot21

    In dem Fall muss in der udmpro der Präfix auf 56 gestellt werden.

    Dadurch kann es auch sein dass deine Geräte neue IPv6 Adressen bekommen die du im Tunnel neu eingeben musst!

    Ich empfehle dir direkt die von dir genutzten VLAN, welche du benötigst, auch für IPv6 frei zu schalten, mit jeder Änderung ändert sich sonst evtl. Die Präfix Zuordnung innerhalb deines Netzwerkes (jedes VLAN bekommt einen eigenen unter Präfix, 01, 02, 03….)

    so ich habe alle Regeln drin, der 6tunnel ist mit den Daten betankt


    Präfix habe ich vorsorglich schon auf 56 gestellt gehabt


    Ich habe mal den Webinterface Port mit frei gegeben um zu schauen ob ich das vom Browser von Aussen erreiche - aber auch das funktioniert nicht...


    Irgendwo habe ich wohl doch noch einen Fehler drin

    Du meinstest beim VPS muss ich vorher noch die Ports freigeben... geht das nicht automatisch mit dem befehl "6tunnel Port IP Port" ?

    Ich habe auch so einen ionos VPS Server wie in deiner Beschreibung..

    • Offizieller Beitrag
    Zitat von pekepain

    ja Deutsche Glasfaser ist da schon speziell.... aber diesmal ging es tatsächlich schneller

    :thumbs_up:.


    Ich bin bei Helinet und bisher ist mir das Problem nicht bekannt da die sich ja nur bei DG eingekauft haben, um ihr Produkt anzubieten, DG ist Eigentümer vom Netz und ich habe noch eine IPv4-Adresse deswegen habe ich damals nicht DG genommen muss allerdings dann damit leben das Helinet momentan nicht höher anbietet als 200/200, erst wenn die umstellen auf IPv6 werde ich wechseln, um mehr Bandbreite zu bekommen :winking_face:.

    Ok, Gehen wir der Reihe nach im Ausschluss verfahren durch und fragen ein paar Dinge ab, als erstes:

    Wird In der Synology eine korrekte IPv6 angezeigt?

    Also keine mit fe08…. Sondern eine mit deinem Präfix (bitte nicht komplett posten diese Adresse)

    Um Fehler bei der Firewall Einrichtung auszuschließen würde ich in der udmpro die IPv6 WAN IN regeln mal beide ausschalten (enable deaktivieren)

    Generell mal schauen ob die Firewall in der Synology ausgeschaltet wurde! Benötigst du in der Regel auch nicht mehr nun.

    Bei ionos hast du in der Firewall die Ports 80,443 und 5000 frei gegeben, das ist richtig, oder? In deinem Bild sind die Einstellungen noch nicht komplett vom vps übernommen, das dauert bei 1&1 schon mal einige Minuten.

    Wie rufst du deinen Server auf, hast du eine Webseite mit DNS Eintrag oder einen Subdomain mit Umleitung? Ansonsten probiere den Aufruf mit der ip4 deines vps Servers. Hier natürlich die Angabe des Ports nicht vergessen, 5000 für die Oberfläche der Synology

    Synology:


    Um Fehler bei der Firewall Einrichtung auszuschließen würde ich in der udmpro die IPv6 WAN IN regeln mal beide ausschalten (enable deaktivieren) > sind jetzt aus


    VPS ist durch:


    Weboberfäche öffne ich im Netzwerk erstmal mit der ipv4 adresse und dem port 5000

    Die Ports mache ich später wieder zu sobald die Verbindung steht

    Ok, du solltest zum testen einen externen Zugang außerhalb deines Netzwerkes haben. Zb im Handy mal das wlan ausschalten und die ip4:Port mal aufrufen.

    Klappt das?

    Hast du im Tunnel die korrekte IPv6 hinterlegt? Ich sehe deine Synology hat sich zwei gezogen. Oder täuscht das nur, es kann sein das nur die eine global erreichbar ist.

    Im ionos Server kannst du auch mal einen der folgenden Befehle eingeben, hiermit werden die aktuell laufenden Tunnel angezeigt


    ps -ef | grep 6tunnel

    ps ax | grep 6tunnel


    Stehen da Ports und IPv6 korrekt drin?

    Dann sollte es klappen