OpenVPN / UDM-Pro mit Deutscher Glasfaser (DualStack Anschluss)

HIlft dir ggf das hier: Externer Zugriff über IPv6

?

Mit Deutsche Glasfaser und Unifi bekommst du wegen Dual Stack Lite kein VPN hin. Es sei denn du greifst auf Bastellösungen zurück.

Da du sagst das du dein gesamten Netzwerk umgerüstet hast, gehe ich davon aus aus, dass du einen USG oder UDM hast.

Dort kannst du zb Wireguard drauf installieren, ist aber nicht so einfach zu machen. Aber wenn es läuft dann ist es auch sehr schnell. Eigentlich die performanteste Lösung überhaupt.

Ansonsten, wenn du schon einen Server laufen hast, dann würde ich dir empfehlen dort den VPN-server zu installieren.

Ich z.B. habe auf meinem Debianserver PRITUNL als VPN Server installiert. Das kommt mit IPV6 klar.

Und das ist nämlich das Problem vom Unifi VPN.

Der VPN Server von Unifi lauscht nur auf die IPV4 WAN Adresse und nicht auch auf IPV6.

Ich hoffe das Ubiquiti irgendwann Wireguard voll integriert.

Hast du mal UDP ausprobiert?

Hallo Maurice,

UDP funktioniert über den 6Tunnel nicht.

Der Rest ist korrekt, aber du schreibst oben "Source: Ionos v4 Adresse", das muss entweder die IPv6 des Ionos Server sein oder du kannst natürlich auch "All" setzen.

Ich gehe davon aus, dass dein Netzwerk einen ordentlichen IPv6 bekommt, passend zum Präfix den du am entsprechendem BR0 (oder je nach VLAN auch anderen Bridge Port) angezeigt bekommst.

Die Adresse auf deiner UDM Pro siehst du wenn du dort per ssh drauf gehst und ip addr eingibst, sie sollte bei dir mit 2a00 beginnen (Deutsche Glasfaser)

Hast du auch die Firewall auf dem Ionos Server eingestellt? Hier musst du Port 1194 manuell hinzufügen, sonst geht es nicht. Auch solltest du schauen ob der QNAP nicht eine Firewall aktiviert hat.

Wenn alles korrekt ist, gehst du per ssh auf den Ionos Server und gibst dort ein:

ps -ef | grep 6tunnel

um zu schauen ob der Tunnel läuft, dann gibst du ein

traceroute6 [IPv6 deiner QNAP]

-> Der Traceroute sollte nur bis zur IPv6 deiner Bridge kommen, also BR0 bei Standard LAN -> Hier die IP vergleichen

Edit: Nachtrag von mir: Ich hab vor kurzem noch einen Tunnel aufgesetzt, ich meine mich zu erinnern, dass der Ionos Server nach der Aktivierung nicht sofort eine IPv6 Adresse bekommen hatte, diese musst du erst aktivieren, ohne diese geht es natürlich auch nicht.

Zitat von overfl0w

root 764 1 0 09:48 ? 00:00:00 6tunnel 1194 2a00:6020:43ac:XXX:208:XXXX:XXXX:XXXX 1194

Das ist ein korrekt konfigurierter 6Tunnel

Zitat von overfl0w

Was muss in der OpenVPN Client config für eine IP Adresse stehen? Die Ipv4 Adresse des vServers oder?

Ja, aber prüfe doch erst einmal mit dem Traceroute ob die Verbindung korrekt geroutet wird, zeigt er die korrekt an? Hier können seitens Deutsche Glasfaser gerne mal Probleme auftreten!

Zitat von overfl0w

(tcp:1149)

Ich denke du meinst 1194 wie in deinem Beispiel

Im OpenVPN Client muss die IP4 Adresse des Servers -> hast du hier die Exportierte OPNV Datei auch angepasst und in dein Programm importiert?

Eine fehlerhafte Konfiguration lässt auch keinen Zugriff zu, deshalb bitte erst das Routing testen -> Du könntest auch testweise einen Tunnel auf Port 80 der QNAP aufbauen um zu sehen ob alles korrekt geht. Vorausgesetzt du hast auf Port 80 was gehostet auf der NAS

Vergess mal kurz die Firewall, zum Testen ist es eh besser Source auf all und Ports of all stehen zu lassen um Fehler besser finden zu können.

Der traceroute läuft nur bis zur letzten Adresse, alle Sternchen die dahinter kommen kannst du getrost vorzeitig abbrechen.

Dein traceroute muss hier die IPv6 deiner eth08 Schnittstelle anzeigen ( entgegen meiner Angabe oben das es sich um die br0 handeln muss, die br0 zeigt Deinen Präfix und die eth08 zeigt deine WAN IPv6)

Diese muss im traceroute stehen, wenn das nicht passiert, dann hast du leider ein Problem wie viele andere deutsche Glasfaser Nutzer, bei denen innerhalb von dem Provider nicht korrekt geroutet wird.

Was du machen solltest. Kontrolliere noch einmal Firewall des ionos, IPv6 der Qnap und alle Einstellungen, schreibe die IPv6 des wan Portes auf und schaue ob als letzte Adresse beim traceroute auf deinen qnap IPv6 diese WAN Adresse angezeigt wird.

Wenn das nicht der Fall ist, starte den ionos Server neu, warte 1-2 min und probiere erneut, das kann schon mal 2-3 Neustarts ein Versuch wert sein, ab und zu zickt der mal.

Wenn das geht, melde dich mal wieder

Zitat von overfl0w

Was mache ich falsch?

Bei Ziel hast du korrekt die IPv6 der NAS drin und den korrekten Port 1194 -> richtig

Die Quelle muss aber Any und Any sein, sonst beschränkst du den Zugriff da drauf, dass dein NAS eine Verbindung zur NAS aufbauen kann (was natürlich falsch ist)

Was bei der Deutschen Glasfaser ab und zu falsch läuft (und das hab ich bei mehreren erlebt)

Dass das Routing auf Seiten der DG nicht korrekt übermittelt wird zu Dir.

Das solltest du mit einem

traceroute6 [IPv6 des NAS]

von einem externem Gerät mit IPv6 anbindung testen.

Wichtig hierbei: Der Traceroute wird nie bis zur IP der NAS durchkommen, da er am Gateway geblockt wird, aber es wird dir als Ende die Ipv6 der WAN Schnittstelle gezeigt (ETH08 bei der UDMPro)

Falls das nicht der Fall ist, gibt es ein Problem mit der DG

Zitat von overfl0w

muss in der IPv6 Gruppe die öffentliche IPv6 des Nas rein

Es muss die IPv6 rein unter der du sie aus dem öffentlichen Bereich erreichen möchtest, wie sollst du deine NAS von aussen mit einer internen Adresse erreichen können?

-> Interne Adressen sind absolut nutzlos und werden hauptsächlich zum broadcasten und Aufspannen eigener Netzwerke benutzt (-> Siehe das neue Matter bzw Apple Hardware wie der HomePod)

traceroute6 ist ein Linux Befehl, da du ja am 27.12 (Post Nr. 9) bereits von deiner Ionos den Befehl ausgeführt hattest, ging ich davon aus dass du es auf dem gleichem Wege noch einmal versuchst.

Du bist aber die Antwort Schuldig geblieben ob und welche Adresse Dir dort angezeigt wird. Du schreibst nur:

Zitat von overfl0w

3.) Traceroute liefert ziemlich viele Hops... Am Ende nach 30 max werde ich nicht schlauer... siehe

Daraufhin habe ich es konkretisiert, aber keine Antwort erhalten ob die Dir angezeigte Adresse mit der ETH8 der UDMPro übereinstimmt.

Zitat von uboot21

Der traceroute läuft nur bis zur letzten Adresse, alle Sternchen die dahinter kommen kannst du getrost vorzeitig abbrechen.

Dein traceroute muss hier die IPv6 deiner eth08 Schnittstelle anzeigen ( entgegen meiner Angabe oben das es sich um die br0 handeln muss, die br0 zeigt Deinen Präfix und die eth08 zeigt deine WAN IPv6)

Diese muss im traceroute stehen, wenn das nicht passiert, dann hast du leider ein Problem wie viele andere deutsche Glasfaser Nutzer, bei denen innerhalb von dem Provider nicht korrekt geroutet wird.

->> Falls das nicht der Fall ist kannst du versuchen was du möchtest, weil dann würde die DG nämlich falsch Routen!

Die Adresse 2a00:6020:ffff:ffff::20 müsste mit der Adresse deiner ETH8 (WAN) Schnittstelle übereinstimmen

-> Das hat nichts mit deinem Prefix zu tun oder der Adresse auf der du den Trace ausgeführt hast, diese muss aber übereinstimmen.

Um es kurz zu machen: Du hast korrekt ein Präfix bekommen von der Deutschen Glasfaser, aber die Deutsche Glasfaser bekommt es nicht gebacken diesen mit ihren eigenen Routern bis zu Dir durchzurouten (so sieht es für mich zumindest aus)

Das Thema hatte ich mit ein paar anderen DG Kunden bereits und leider sind die dort auch nicht sehr kompetent und Einsichtig was eine Problemlösung auf deren Seite entspricht.

Zum Anfang empfehle ich Dir deinen ONT zu resetten, (länger als 15 Sekunden gedrückt halten bis Lampen blinken)

Die UDMPro sollte nun mindestens eine Stunde nicht mit einem Kabel im ONT eingesteckt sein, dann diese mit dem ONT verbinden und schauen ob du IP´s bekommst. -> Wenn dann der Traceroute nicht bis zu deiner WAN IPv6 (vorher kontrollieren wie diese aussieht) dann wirst du ein Ticket erstellen müssen bei der DG

Leider wird man dort mit standard Ausweichfragen antworten

- Alle Standard Lösungsansätze noch einmal durchgehen

- Erzählen das die UDMPro nicht supported wird und das es an der liegt (was nicht korrekt ist)

- Darauf beharren dass der Fehler nicht bei ihnen liegt etc...

Du könntest mal Kontakt mit Braeuni aufnehmen, er hat es am Ende geschafft das seine IPv6 korrekt durchgerootet wurde, das hat aber am Ende auch mehrere Wochen gedauert.

Zitat von overfl0w

Die Adresse "2a00:6020:ffff:ffff::20" ist also mit ziemlicher Sicherheit die Adresse ohne Präfix?

Das weiss ich nicht, deshalb hab ich mehrmals geschrieben das du das mit deiner WAN IPv6 (ETH8 Schnittstelle) vergleichen musst.

An der BR0 wird dir dein Präfix angezeigt.

Was aber bekannt ist :

2a00:6020: -> so fangen alle Adressen der DG an, das ist quasi der Präfix für dein Provider

:ffff:ffff:: -> sieht für mich eher nach einem Fehler aus, als nach einem Routing switch,

also mit großer Wahrscheinlichkeit ist es nicht deine Adresse.

Um es mal deutlich zu machen, hier ein Traceroute von mir auf mein System

traceroute to 2a00:6020:xxxx:db00:211:xxxx:fe7b:xxxx (2a00:6020:xxxx:db00:211:xxxx:fe7b:xxxx) 
 1 fd8b::2 (fd8b::2) 2.1199 ms 0.2245 ms 0.2172 ms 
 2 2001:8d8:0:202::2 (2001:8d8:0:202::2) 0.8718 ms 0.8262 ms 0.7064 ms 
 3 ae-0-0.bb-a.bap.rhr.de.net.ionos.com (2001:8d8:0:9::8) 0.7375 ms 0.6333 ms 0.5666 ms 
 4 ae-10-0.bb-a.fra3.fra.de.net.ionos.com (2001:8d8:0:2::f1) 4.7476 ms 4.7062 ms 4.7389 ms 
 5 pr1.int63-fra.dg-w.de (2001:7f8::eb86:0:1) 5.4992 ms 5.4692 ms 5.4603 ms 
 6 2a00:6020:0:d::2 (2a00:6020:0:d::2) 5.3432 ms 5.4972 ms 5.3728 ms 
 7 lo1007.kr1.dc1-bor.dg-ao.de (2a00:6020:1000:3::1) 13.3358 ms 13.3544 ms 13.7322 ms 
 8 2a00:6020:xxx:3:xxxx:47cc:xxxx4abc (2a00:6020:xxx:3:xxxx:47cc:xxxx4abc) 15.7029 ms 14.0295 ms 15.9449 ms


   2a00:6020:xxxx:db00:211:xxxx:fe7b:xxxx ist ein Server in meinem System
   2a00:6020:xxxx:db ist mein Präfix, 00 (hinter dem db) ist mein erstes VLAN
8 2a00:6020:xxx:3:xxxx:47cc:xxxx4abc-> Das ist die Adresse mit der mein UDMPro mit dem Internet verbunden ist, diese ist aber nicht von aussen erreichbar und entspricht dem WAN1 (Eth8).



6 2a00:6020:0:d::2 ist ein Switch von der DG

7 lo1007.kr1.dc1-bor.dg-ao.de (2a00:6020:1000:3::1) ist ein Switch von der DG (sieht man auch am DNS Namen .....dg-ao.de