IPv6 am UDMPro und Deutscher Glasfaser die 100ste... bin am verzweifeln...

Es gibt 109 Antworten in diesem Thema, welches 4.949 mal aufgerufen wurde. Der letzte Beitrag () ist von uboot21.

    Hallo.


    Ich bin wirklich am verzweifeln... Versuche seit gestern früh die UDMP an meinem DG Anschluss mit originalem ONT UND ipv6 zum laufen zu bringen...


    An sich geht soweit alles auch das internet rennt... ABER ich bekomme kein ipv6 von außen... Ich kann also kein Wireguard und keine freigaben durchführen...


    Hat vielleicht jemand einen Tipp der wirklich das teil dazu bringt und mir ipv6 liefert?


    Habe tausende beiträge gelesen aber irgendwie bringen die mich nicht weiter...


    Habe auch gelesen das die UDMP internetseitig offen ist was die firewall angeht und man diese erst schließen soll... kann es mir aber irgendwie nicht vorstellen....


    Schließe ich meine FritzBox 4060 an den ONT bekomme ich sofort den ipv6 präfix angezeigt und kann meine freigaben einrichten und wireguard einrichten aber mit der UDMP keine chance...


    Kann bitte jemend helfen?

    Ich habe heute mal alles von vorn gemacht und anhand dieser Anleitung alles resetet und alle Switches und die UDMP neu gestertet. gleichzeitig WANKabel gezogen und den ont resettet und eine stunde gewartet...


    alles wie hier beschrieben: UbiQuiti Anleitung


    WAN Kabel angeschlossen und siehe da: gemäß https://ipv6-test.com/ hatte ich endlich auch eine IPv6 adresse...


    HAb mich gefreut wie ein Keks.


    Naja ne stunde später wollte ich ddns einrichten und wireguard und pustekuchen!
    Meine ipv6 ist wieder weg! der ipv6 test sagt auch NIX ipv6..


    also per ssh ipaddr ausgelesen und dort wird mir am eth8 unter inet6 auch 2x ipv6 Adressen angezeigt. einmal die 2a00:6020usw

    und einmal eine fe80::


    Wa ist denn nun da los?


    Wenn ich ddns einrichten möchte unter ipv64.net klappt es nicht weil er nur die ipv4 bekommt...


    Hat denn niemand einen Tipp?

    2a00:6020 ist die Startadresse von Deutsche Glasfaser, das ist korrekt

    -> das ist aber nicht die Adresse bei eth8, mit welcher du von aussen erreichbar bist.


    Unter WAN musst du IPv6 mit DHCPV6 einrichten

    Du musst unter Netzwerke (für jedes Netzwerk) IPv6 aktivieren

    Dann bekommst du die Ipv6 Subnetze unter br0 angezeigt

    Danach sollte jedes deiner Geräte in diesen Netzwerken eine IPv6 bekommen, von aussen kannst du dich (Nach freigabe in der Firewall) direkt mit jedem Gerät verbinden, zb. einem Wireguard server.


    PS1: Auch wenn die IPv6 erstmal statisch aussieht, kann es sein, dass sich diese nach Störungen im Netz trotzdem erneuert

    PS2: Wechsel nicht die Geräte (also mal kurz ne Fritzbox anschliessen), Glasfaser braucht ein Gerät, wenn du es wechseln möchtest kann das sehr langwierig werden (wie du richtig gemacht hast mit reset, lange Zeit nicht am Netz, etc. )

    PS3: Ich nutze am Ende nun doch IP4 und baue eine Wireguard Verbindung zu einem z.b. IONOS VPS Server für 1€ im Monat auf, Das Unifi Gateway kann hier wunderbar per wireguard Client darauf zugreifen, über den VPS Server kannst du dank fester IP4 immer zugreifen.



    Jedes Netzwerk

    JOa, und wieder n bisschen schlauer geworden...


    Code
    ipsec statusall

    hat mir für alle meinenVLANS wo ich IPV6 aktiviert habe auche ieine ipv6 mit dem beginn 2a00:6020 nur immer eine andere endung was wohl so soll denke ich.

    also bekommt mein endgerät auch dann ein komplette und die muss ich dann wohl nutzen. werde ich testen wenn ich herausgefunden wie ich den Port 443 für meine Synology freigegeben habe..


    Zitat von uboot21

    PS3: Ich nutze am Ende nun doch IP4 und baue eine Wireguard Verbindung zu einem z.b. IONOS VPS Server für 1€ im Monat auf, Das Unifi Gateway kann hier wunderbar per wireguard Client darauf zugreifen, über den VPS Server kannst du dank fester IP4 immer zugreifen.

    DAS klingt sehr interessant! Ionos domain und webspace habe ich... und n eu im Monat wäre ich locker bereit zu invertieren... muss mal n bisschen lesen wie das funktioniert... gibts dafür eine HOWTO?


    VIELEN VIELEN Dank schon mal... bin fast am verzweifeln hier..

    Also ich nutze für die Verbindung zum VPS eine einfache Wireguard verbindung.

    Meine UDM Pro wird als Wireguard client eingerichtet und der Wireguard Server auf dem IONOS wird manuell eingerichtet (Wireguard Port auf der VPS in der Firewall frei geben)

    Den Zungang zum VPS von aussen mit meinen Mobilen Geräte mache ich mit einem Docker Firezone Server (eine Mini Anleitung habe ich in meinem noch nicht fertigem Github beschrieben: https://github.com/uboot21/wor…/PortainerStacks/firezone)


    Eine Anleitung für den Wireguard Tunnel zum VPS habe ich noch nicht fertig, die Anleitung im Github sollte mit einem Hetzner Baremetal Server inkl Proxmox, PFSense als wireguard Server erstellt werden.

    Bevor ich fertig wurde hab ich mich umentschieden und einen Baremtall Docker Server aufgebaut und verbinde alle Internet Server mit einem Wireguard Mesh System untereinander. Hier gibt es im Setup der UDM Pro ein paar Punkte zu beachten, insbesondere was die Traffic Routes und die Static Routes betrifft. Auch die Firewall will "Extra" eingerichtet werden, da Unifi das meiner Meinung nach falsch umsetzt.


    Aber eine einfache Wireguard Verbindung zu einem Server ist simple mit ein paar Basic wireguard Grundkenntnissen möglich.

    Bei mir zeigt er es an mit https://ipv6-test.com/, was möglich ist (zumindest früher), habe ich hier mal beschrieben vor einiger Zeit.

    #Sonstiges | Externer Zugriff über IPv6 aufs Netzwerk - ubiquiti - Deutsches Fan Forum

    Wie gesagt, mit der neuen Firmware empfehle ich den Wireguard Clienten, ich habe mal eine Schnelle Anleitung hier gemacht:

    workspace/1_Infrastruktur/7_Unifi_Wireguard_Tunnel/README.md at master · uboot21/workspace
    Öffentliche Portainer Stacks . Contribute to uboot21/workspace development by creating an account on GitHub.
    github.com

    Zitat von uboot21

    Bei mir zeigt er es an mit https://ipv6-test.com/

    Ja, dann kanns ja nur gehen... ging bei mir ja auch ca eine stunde lang... das ist sehr komisch... werde morgen noch mal nen reset machen und schauen obs dann bleibt... aber ohne die ipv6 kann ich machen was ich will dann kanns ja auf die herkömliche weise ja nicht gehen... Und das muss ja normal gehen, mit der fritzbox ging es ja auch jahre lang ohne probleme.


    Und auch das mit dem wireguard wird doch auch nicht gehen wenn ich keine ipv6 bekomme, oder?

    Die vps hat ja ip4 mit eigener festen Adresse.

    Ich hatte es einige Zeit mit IPv6 am laufen, fast 2 Jahre, tolles Setup, stabil, immer die gleiche IPv6.

    Dann fingen ein paar Störungen im DG Netzwerk an mit Ausfällen (war irgendwo was kaputt gegangen im Netz. Danach bekam ich jedesmal eine neue IPv6 Adresse, heißt, alle meine DNS Umleitungen umsetzen auf die neue etc. Da ich Hochverfügbarkeit benötige und das ja jedesmal dann ausfällt wenn man es nicht braucht, entschied ich mich dazu auf einen Reverse VPN Tunnel zu setzen.

    Der hat auch einen weiteren Vorteil, ich habe Internet fallback auf eine andere Internet Verbindung-> da hilft dr auch die beste IPv6 nichts, wenn du zwischen 2 Anbietern springst hast du jedesmal eine andere ip. Mit dem Wechsel auf einen ip4 vps bin ich immer erreichbar, entweder per Login oder über einen Reverse Proxy Server auf meine Webserver zu Hause

    So. Ich habe gestern abend die Nerven komplett verloren.


    HAbe mich beim EarlyAccess angemeldet, alle Geräte auf die EA Firmware geupdatet. und dementsprechend alles neu gestertet.

    Jetz habe ich auch in der neuen Netzwerkübersicht alle Geräte mit den dazugehörigen ipv4 und ipv6 Adressen UND mein WAN hat auch eine ipv6 seit gestern abend stabil drin.


    Das ist schon mal gut für den ersten Teil.


    Jetzt möchte ich noch testen ob ich es üerhaupt hinbekomme von meinem Smartphone einen zugriff auf meine Diskstation welche in einem VLAN ist zu bekommen...

    Da muss ich nochmal lesen wie das mit den Subnetz (VLAN) und der freigabe funkioniert...

    Ich denke ich muss in dem Fall direkt die IPV6 Adresse vom endgerät ansprechen.... und den PORT 443 dafür freigeben..


    Dann teste ich noch ob ich Wireguard hinbekomme...


    Wenn das an sich alle klappt und funktioniert, werde ich mich mit deiner Lösung mal befassen. Finde sie INterssant, leider bin ihc da nicht besonders bewandert...Muss alles mühsam erfragen, lesen, probieren und verzweifeln...


    Denke die Möglichkeiten zur realisierung hätte ich.

    Synology Diskskation mit docker drauf, ionos webspace mit 3 domains usw..zur not auch 2 aktive raspberrys...


    ABER eine FRAGE bezüglich deiner VPN Lösung....


    Verstehe ich das richtig? mit dieser Anleitung bekomme ich auf der UDM einen VPN Server wo ich mich mit meinen Clienten verbinden kann und ich muss mir keine Gedanke über ipv4 oder 6 machen? Und es funktioniert auch wenn meine udm der meinung ist ipv6 zu verlieren und das drame der letzten tage zu widerholen?

    Und das funktionert stabil und problemlos?


    Sorry ich muss fragen... habe leider nicht genug ahnung um zu komplizierte Geschichten zu machen ...

    Zitat von Misux

    Verstehe ich das richtig? mit dieser Anleitung bekomme ich auf der UDM einen VPN Server wo ich mich mit meinen Clienten verbinden kann und ich muss mir keine Gedanke über ipv4 oder 6 machen? Und es funktioniert auch wenn meine udm der meinung ist ipv6 zu verlieren und das drame der letzten tage zu widerholen?

    Und das funktionert stabil und problemlos?

    Also wenn ich mir das alles so n paar mal durchgelesen habe...


    Glaube das GROBE habe ich verstanden...


    Du hast auf deinem IONIS VPS einen Wireguard Server installiert.

    Die UDM verbindet sich als Client dort.

    Mit deinen Endgeräten verbindest du dich dann auch als client mit dem VPS und da die UDM auch dort ist hast du zugriff auf dein Neztwerk hinter der UDM (wenn die Firewallregeln richtig gesetzt sind)


    Also braucht man demetsprechenr gar kein DDNS und ob ipv4 oder v6 spielt keine Rolle weil der IONOS VPS in der Art ein Übersetzer zwischen den Geräten ist...


    Ist das an sich so richtig?


    Wenn das so ist, ist das wiklich GEIL.


    Ich brauche auch nur 2 oder 3 Geräte die ich mit der UDM und deren Netzwerk verbinden möchte. Einmal mit einem Windws PC und ein oder 2 Smartphones.


    Also wenn du vielleicht ein HOWTOforDUMMIES ersellen könntest wäre das der Hammer...


    Mir ist nämlich noch nicht ganz klar wo du den Docker installierst? Auc auf dem VPS ode wo?

    Hallo Misux, du hast in all deinen Vermutungen Recht und bauchst Dir keine Sorgen machen das deine IPv6 mal weg ist oder nicht


    die Technik die du verwendest um die UDM Pro mit dem VPS server zu verbinden nennt sich Reverse VPN Tunnel. Da die IP4 deiner VPS sich nie ändert ist es völlig egal was deine IP zu hause macht. wenn du dann auf der VPS bist tunnelst du alles komplett in dein Netzwerk. Auf dem VPS bleibt am Ende nur 2 Wireguard Ports offen und es besteht kein Sicherheitsrisiko.


    Von extern verbindest du dich mit einer zweiten Wireguard Verbindung auch auf deiner VPS, die Daten werden komplett in dein Netzwerk zu Hause getunnelt.


    Ähnliches erreichst du auch mit Cloudflare wenn du dort einen Zero Trust reverse Proxy tunnel z.b zu einem Linux Server oder Docker aufbaust. Allerdings ist der Cloudflare Tunnel dann gut wenn du zb auf Webseiten oder Docker Seiten zugreifen möchtest. Der Wireguard Tunnel ist um deine eigenen Geräte geschützt in dein Netzwerk tunneln möchtest ohne öffentlichen Zugriff

    Auch das geht mit meinem oben genantem Wiki.

    Ich nutze es z.b. um Port 5001 meiner Synology direkt weiterzuleiten, aber Achtung, dann ist das Endgerät für die Sicherheit zuständig.

    Man muss auch nicht umbedingt die Software Firezone installieren, man kann auch einfach für jedes Endgerät einen eigenen Wireguard zugang machen, ist etwas aufwendiger.

    Falls du Webseiten zb weiterleiten möchtest, empfehle ich einen Reverse Proxy (NGinx Reverse Proxy oder Treafik) auf dem VPS zu installieren, hier leitest du deine DNS um auf interne Adressen in deinem Netz.

    Ganz ehrlich, DYNDNS geht nur wirklich subotptimal, ich kenne nur wenige DYNDNS Provider die auch IPv6 können und das Netzwerk ist hier sehr oft zu sehr IP4 -> Was nämlich NICHT geht. Wenn ein User kein IPv6 hat kann er mit seinem IP4 nicht auf deine Seiten zugreifen und es gibt leider immer noch Handyprovider die nur mit IP4 arbeiten, damit ist IPv6 für mich an der Stelle gestorben.

    Hallo Misux ,

    vielleicht verstehe ich etwas falsch, aber warum meinst Du, Du benötigst IPv6 für Wireguard?

    Wireguard funktioniert über beide Protokolle, auch DynDNS hat nichts prinzipiell mit IPv4 oder v6 zu tun.


    Unabhängig davon ist es natürlich Mist, wenn IPv6 an Deinem Anschluss nicht stabil zur Verfügung steht.

    Zitat von Networker

    Hallo Misux ,

    vielleicht verstehe ich etwas falsch, aber warum meinst Du, Du benötigst IPv6 für Wireguard?

    Das könnte daran liegen das ich einfach keine Ahnung habe... :grinning_squinting_face: Aber ich arbeite dran...

    Was ich jdeenfalls weiß ist das ich von außen nicht in mein Netzwerk komme wenn mir DG kein ipv6 liefert..


    Naja... JEtzt ist es jedenfalls so das ich wieder ipv6 habe und damit kämpfe auf die traditionelle Art zugriff auf meine Synology Diskstation per 443er Port zu bekommen....


    Auf der Fritte lief alles problemlos, hier muss ich vielen neu lernen... Allein die Portfreigabe für den Port 443 für dieDiskstation ist schon wieder ein graus... Es klappt nicht...



    Ehrlich gesagt bin ihc kurz davor die Fritte wieder vor die UDM zu schalten und dieser das Internet zu überlassen wenn das mit den Problemen so weiter geht....

    Aber ich weis nicht was ich für probleme mit diesem doppelten NAT bekomme...


    Ich möchte auf wireguard und die eine oder andere Freigabe nicht verzichten...


    aber wenn die Lösung von uboot21 funktioniert würde ich diese natürlich lieber nutzen... aber da bin ich noch zu doof für...

    Einmal editiert, zuletzt von Misux ()

    Zitat von Misux

    und damit kämpfe auf die traditionelle Art zugriff auf meine Synology Diskstation per 443er Port

    Bitte tu das auf keinen Fall!

    Heimnetzgeräte sollten niemals direkt aus dem Internet erreichbar sein - insbesondere NAS (egal von welchem Hersteller) haben regelmäßig massive Sicherheitslücken.

    Alle Verbindungen von außen nach innen ausschließlich über VPN, diese Regel kann man nicht oft genug betonen.


    Zum Verständnis: Wenn Dein VPN-Tunnel funktioniert, brauchst Du keinerlei Portfreigaben!


    Welches konkrete Problem taucht denn überhaupt auf, wenn Du versuchst, Wireguard einzurichten? Versuche es mal, so simpel wie möglich wiederzugeben, ohne dabei zu interpretieren.

    Also ich versuche es auf die automatische Art.


    Unter VPN ...Server erstellen... Die Daten eingegeben und automatisch erstellen...





    Dann per Wireguard App aufm Handy einscannen und dann im Mobilen Netz testen... Geht nicht...


    Klingt ja eigentlich einfach... so hats auf der fritte auch funktioniert...

    Einmal editiert, zuletzt von Misux ()

    Zitat von uboot21

    Bei mir zeigt er es an mit https://ipv6-test.com/, was möglich ist (zumindest früher), habe ich hier mal beschrieben vor einiger Zeit.

    #Sonstiges | Externer Zugriff über IPv6 aufs Netzwerk - ubiquiti - Deutsches Fan Forum

    Wie gesagt, mit der neuen Firmware empfehle ich den Wireguard Clienten, ich habe mal eine Schnelle Anleitung hier gemacht:

    https://github.com/uboot21/wor…ireguard_Tunnel/README.md

    Sehr schöne Anleitung. Danke dafür. Am Ende fehlt ggf. noch der Punkt, wie man sich dann schlussendlich von einem Endgerät (Smartphone, Tablet, Laptop..) mit dem Netzwerk verbindet, also wohl, wie man dann die Config auf dem VPS entsprechend anlegt und dann auch auf das Endgerät bekommt.