13
IPv6 für VPN in Fritzbox 6820
Ipv6 als Zugang zu VPN in einer Fritz!Box6820.
ich hab mir die Anleitung vom Thomas durchgelesen, habe aber Schwierigkeiten bei der Umsetzung. besonders wie und wo ich die Scripts integriere. da kenn ich mich nicht so aus. Kann mir jemand per Telefon helfen?
ich hab mir die Anleitung vom Thomas durchgelesen, habe aber Schwierigkeiten bei der Umsetzung. besonders wie und wo ich die Scripts integriere. da kenn ich mich nicht so aus. Kann mir jemand per Telefon helfen?
Share on Facebook
Share on Twitter
Share on Reddit
Share on LinkedinPlease also mark the comments that contributed to the solution of the article
Content-Key: 7160886082
Url: https://administrator.de/contentid/7160886082
Printed on: May 2, 2024 at 04:05 o'clock
13 Comments
Latest comment
Moin Moin,
ein paar mehr Informationen wären hilfreich ;)
Sprechen wir von einer End-to-Side Verbindung? Oder was ist genau das Problem?
Und welche integrierten Scripte? Zum Verbindungsaufbau des VPN-Tunnels oder in Windows?
Gruß
ein paar mehr Informationen wären hilfreich ;)
Sprechen wir von einer End-to-Side Verbindung? Oder was ist genau das Problem?
Und welche integrierten Scripte? Zum Verbindungsaufbau des VPN-Tunnels oder in Windows?
Gruß
Ich will eine VPN-Verbindung von FB zu laptop und IOS phone herstellen. VPN Anbieter ist Mullvad aus Schweden. DDNS will ich über Myfritz! nutzen. LTE anbieter ist freenet über O2. Bietet wie alle keine öffentlichen IPv4 an. will es also über IPv6 probieren. Da hatte der Thomas 2017 hier im Forum ein Script erstellt:
Der VPN-Service läuft also auf dem Raspberry Pi, ganz normal via LAN-Kabel angeschlossen.
Der Raspberry Pi hat eine IPv6-Adresse, die auf der Fritzbox freigegeben(Firewall) ist und außerdem via myfritz einen stabilen Servernamen hat. (andere Router und DDNS-Dienste sind hier auch denkbar)
Um statische Routeneinträge auf dem Router und den anderen Geräten zu vermeiden, setze ich auf ARP-Proxy und NDP-Proxy.
sysctl net.ipv4.conf.eth0.proxy_arp=1
sysctl net.ipv6.conf.eth0.proxy_ndp=1
Da der Raspberry Pi ja nun Pakete zwischen tun0 und eth0 routen soll, ist noch folgende Einstellung notwendig:
sysctl net.ipv4.ip_forward=1
sysctl net.ipv6.conf.all.forwarding=1
ip neigh add proxy fd00::1:1001 dev eth0
ip neigh add proxy fd00::1:1002 dev eth0
ip neigh add proxy fd00::1:1003 dev eth0
leider für jede IPv6-Adresse einzeln,
oder via diesem Shellaufruf einfach mal für alle setzen:
for i in $(seq 0 65535) ; do ip neigh add proxy fd00::1:$(printf %x $i) dev eth0; done
Für IPv6 kann man auch noch auf ein richtiges geroutetes Netz setzen (die Fritzbox unterstützt dhcpv6-pd). Das hätte den Vorteil, dass man die Adressen auch zum Verkehr mit der Welt nutzen könnte, aber den Nachteil, dass das dynamische Präfix auch dynamisch in openvpn konfiguriert werden müsste.
Im hier hinterlegten Skript umgehe ich das dhcp-problem und nutze auch die global unicast Adressen via NDP-Proxy. Wegen der dynamischen Präfixe muss das Skript nach jedem Wechsel neu aufgerufen werden.
Unter der Annahme, dass die Fritzbox nur den Adressbereich von 192.168.178.20-192.168.178.200 nutzt,
bekommt der VPN-Server 192.168.178.200/29
Nach einer Verkleinerung des DHCP-Bereichs (192.168.178.20-192.168.178.127) verwende ich nun 192.168.178.128/25.
Somit sieht die Serverkonfiguration (server.ovpn) so aus:
proto udp6
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 192.168.178.128 255.255.255.128
server-ipv6 fd00::1:1/112
push "route 192.168.178.0 255.255.255.0"
push "route-ipv6 fd00::/64"
keepalive 10 120
verb 3
Auf dem Client (client.ovpn) sieht das so aus:
client
dev tun
proto udp6
remote servername-hier-nicht-abschreiben 1194 udp6
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
verb 3
Der VPN-Service läuft also auf dem Raspberry Pi, ganz normal via LAN-Kabel angeschlossen.
Der Raspberry Pi hat eine IPv6-Adresse, die auf der Fritzbox freigegeben(Firewall) ist und außerdem via myfritz einen stabilen Servernamen hat. (andere Router und DDNS-Dienste sind hier auch denkbar)
Um statische Routeneinträge auf dem Router und den anderen Geräten zu vermeiden, setze ich auf ARP-Proxy und NDP-Proxy.
sysctl net.ipv4.conf.eth0.proxy_arp=1
sysctl net.ipv6.conf.eth0.proxy_ndp=1
Da der Raspberry Pi ja nun Pakete zwischen tun0 und eth0 routen soll, ist noch folgende Einstellung notwendig:
sysctl net.ipv4.ip_forward=1
sysctl net.ipv6.conf.all.forwarding=1
ip neigh add proxy fd00::1:1001 dev eth0
ip neigh add proxy fd00::1:1002 dev eth0
ip neigh add proxy fd00::1:1003 dev eth0
leider für jede IPv6-Adresse einzeln,
oder via diesem Shellaufruf einfach mal für alle setzen:
for i in $(seq 0 65535) ; do ip neigh add proxy fd00::1:$(printf %x $i) dev eth0; done
Für IPv6 kann man auch noch auf ein richtiges geroutetes Netz setzen (die Fritzbox unterstützt dhcpv6-pd). Das hätte den Vorteil, dass man die Adressen auch zum Verkehr mit der Welt nutzen könnte, aber den Nachteil, dass das dynamische Präfix auch dynamisch in openvpn konfiguriert werden müsste.
Im hier hinterlegten Skript umgehe ich das dhcp-problem und nutze auch die global unicast Adressen via NDP-Proxy. Wegen der dynamischen Präfixe muss das Skript nach jedem Wechsel neu aufgerufen werden.
Unter der Annahme, dass die Fritzbox nur den Adressbereich von 192.168.178.20-192.168.178.200 nutzt,
bekommt der VPN-Server 192.168.178.200/29
Nach einer Verkleinerung des DHCP-Bereichs (192.168.178.20-192.168.178.127) verwende ich nun 192.168.178.128/25.
Somit sieht die Serverkonfiguration (server.ovpn) so aus:
proto udp6
dev tun
ca ca.crt
cert server.crt
key server.key
dh dh2048.pem
server 192.168.178.128 255.255.255.128
server-ipv6 fd00::1:1/112
push "route 192.168.178.0 255.255.255.0"
push "route-ipv6 fd00::/64"
keepalive 10 120
verb 3
Auf dem Client (client.ovpn) sieht das so aus:
client
dev tun
proto udp6
remote servername-hier-nicht-abschreiben 1194 udp6
ca ca.crt
cert client.crt
key client.key
remote-cert-tls server
verb 3
Hi,
wenn du bei deinem Provider keine "statische" IP-Adresse gebucht hast, wird
das mit einer IPv6 Adresse auch nicht funktionieren. Da diese auch alle 24 Stunden
erneuert wird.
Ich habe dir unten einen Link beigefügt, wo die Einrichtung simpel erklärt wird.
Einfach der Anleitung folgen und über "Let´s Encrypt" ein Zertifikat erstellen,
und über den "FQDN" Namen verbinden.
Anleitung zur Einrichtung einer VPN-Verbindung
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-6820/3448_VPN-mit- ...
Der IP Adressbereich ist nicht fest und ist eine Standardeinstellung der FB.
Ich verstehe aber leider nicht ganz, was genau du vorhast.
Gruß
wenn du bei deinem Provider keine "statische" IP-Adresse gebucht hast, wird
das mit einer IPv6 Adresse auch nicht funktionieren. Da diese auch alle 24 Stunden
erneuert wird.
Ich habe dir unten einen Link beigefügt, wo die Einrichtung simpel erklärt wird.
Einfach der Anleitung folgen und über "Let´s Encrypt" ein Zertifikat erstellen,
und über den "FQDN" Namen verbinden.
Anleitung zur Einrichtung einer VPN-Verbindung
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-6820/3448_VPN-mit- ...
Unter der Annahme, dass die Fritzbox nur den Adressbereich von 192.168.178.20-192.168.178.200 nutzt...
Der IP Adressbereich ist nicht fest und ist eine Standardeinstellung der FB.
Ich verstehe aber leider nicht ganz, was genau du vorhast.
Gruß
Hallo.
Hier beantragen (per Privatnachricht direkt, per Hotline).
Vielleicht hilft es Dir.
Gruß
LTE anbieter ist freenet über O2. Bietet wie alle keine öffentlichen IPv4 an.
ist so nicht korrekt. Bieten "alle" an. Bei o² kostet es jedoch einmalig ~50€ fürs freischalten.Hier beantragen (per Privatnachricht direkt, per Hotline).
wird das mit einer IPv6 Adresse auch nicht funktionieren. Da diese auch alle 24 Stunden erneuert wird.
auch quatsch, dyndns regelt das.Vielleicht hilft es Dir.
Gruß
wird das mit einer IPv6 Adresse auch nicht funktionieren. Da diese auch alle 24 Stunden erneuert wird.
auch quatsch, dyndns regelt das.Moin,
warum DynDNS, wenn es über das Let´sEncrypt FB Zertifikat es bereits einen FQDN gibt? ;)
(P.S DynDNS, wäre natürlich auch eine Option, aber nicht notwendig)
Grüße
Ich will eine VPN-Verbindung von FB zu laptop und IOS phone herstellen.
It's all on the Web!!https://avm.de/service/vpn/ipsec-vpn-zur-fritzbox-am-iphone-oder-ipad-ei ...
https://avm.de/service/vpn/ipsec-vpn-zur-fritzbox-unter-windows-einricht ...
https://avm.de/service/wissensdatenbank/dok/FRITZ-Box-7490/2275_VPN-zur- ...
Wie man das ganze schnell und einfach mit Fritzbox und einem Raspberry Pi bzw. Linux verheiratet erklärt dir dieses Foren Tutorial im Detail:
IKEv2 VPN Server für Windows und Apple Clients mit Raspberry Pi
Tut mir leid. Ich komme weder mit dynv6 noch mit lets encrypt klar.
Dynv6 fragt Sachen, die ich nicht finde.
Dynv6 fragt Sachen, die ich nicht finde.
Du brauchst für ein funktionierendes IPv6 VPN weder das eine noch das andere!! Lets Encrypt schon mal gar nicht und für die IPv6 Adresse reicht ein einfacher MyFritz! Account sofern du keinen statische v6 WAN IP hast.
Fügen Sie Ihren vollqualifizierten Domänennamen (FQDN) über das folgende Formular hinzu. Sie können entweder die Root-Domain selbst verwenden (wie ), oder verwenden Sie eine Subdomain (wie ). example.comdyn.example.com
Sie benötigen Zugriff auf die DNS-Einstellungen Ihrer Domain, um Ihre Domain an unsere Nameserver zu delegieren:
ns1.dynv6.com.
ns2.dynv6.com.
ns3.dynv6.com.
Wenn Sie die Root-Domain verwenden, richten Sie die Nameserver bei Ihrem Domain-Registrar ein. Andernfalls erstellen Sie Datensätze für die Subdomain. NS
Warten Sie, bis die Änderungen innerhalb des DNS weitergegeben werden (dies kann dauern bis zu 48 Stunden, abhängig von der Aktualisierungszeitüberschreitung für Ihre Domain). SOA
Sie erhalten eine Fehlermeldung, wenn die (Sub-)Domain nicht richtig eingerichtet ist.
Wo finde ich denn den FQDN? Ohne den kann ich die Domain ja nicht delegieren.
Sie benötigen Zugriff auf die DNS-Einstellungen Ihrer Domain, um Ihre Domain an unsere Nameserver zu delegieren:
ns1.dynv6.com.
ns2.dynv6.com.
ns3.dynv6.com.
Wenn Sie die Root-Domain verwenden, richten Sie die Nameserver bei Ihrem Domain-Registrar ein. Andernfalls erstellen Sie Datensätze für die Subdomain. NS
Warten Sie, bis die Änderungen innerhalb des DNS weitergegeben werden (dies kann dauern bis zu 48 Stunden, abhängig von der Aktualisierungszeitüberschreitung für Ihre Domain). SOA
Sie erhalten eine Fehlermeldung, wenn die (Sub-)Domain nicht richtig eingerichtet ist.
Wo finde ich denn den FQDN? Ohne den kann ich die Domain ja nicht delegieren.
Sie benötigen Zugriff auf die DNS-Einstellungen Ihrer Domain, um Ihre Domain an unsere Nameserver zu delegieren:
ns1.dynv6.com.
und wo finde ich das?
ns1.dynv6.com.
und wo finde ich das?
Danke ; den hab ich. und wie mache ich dann weiter? IPv6 einrichten über IPv6 zu IPv4 mit6to4?
Wenn's das denn war bitte nicht vergessen deinen Thread als erledigt zu schliessen!
